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出 版 说 明 


于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 , 可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 \. 电 子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突 出 ,非法 访问 、 信 息 窃 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 ,数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专 业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 , 在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 和 至、 知识 覆盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 ,实践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需 要 的 、 兼 具 研 究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 .课程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需 求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 能力、 素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教材 建设 把 重点 放 在 专业 核心 (基础 ?课程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核 心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 . 教 
学 参考 书 , 文 字 教 材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁 业 教 材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 ` 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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联系 人 : 魏 江 江 weijj@ tup. tsinghua. edu. cn 


三 
中 


逢 着 计算 机 的 广泛 应 用 ,以 计算 机 为 核心 的 信息 系统 安全 问题 越 来 越 突出 ,如 何 采取 有 效 
的 措施 保护 计算 机 系统 安全 ,是 目前 各 国都 面临 的 问题 。 

本 书 具 有 完善 的 知识 体系 ,概念 清晰 ,讲解 详细 。 本 书 具 有 以 下 特色 : 

(1) 内 容 全 面 ,层次 分 明 。 从 计算 机 系统 的 不 同 层次 ,介绍 了 各 层次 中 的 安全 威胁 
及 防范 措施 ,覆盖 了 计算 机 系统 安全 涉及 的 各 方面 内 容 。 主 要 包括 系统 安全 (操作 系统 
安全 ,数据库 安全 ) 网 络 安全 (漏洞 检测 .攻击 与 防范 防火墙, 系统 入 侵 检 测 与 防御 ) 、 
应 用 安全 (电子 邮件 安全 、IP 安全 .Web 安全 ) 。 

(2) 强调 信息 保障 与 纵深 防御 。 无 论 攻 击 和 防守 ,对 信息 安全 来 说 都 是 过 程 ,信息 
安全 是 否 成 功 关键 在 于 对 过 程 的 把 握 。 从 纵深 防御 保护 的 角度 分 析 了 信息 保障 中 的 保 
护 检测、 响应 和 恢复 。 如 认证 、 防 火 墙 起 到 边界 保护 的 作用 ,扫描 器 、 入 侵 检测 系统 、 蜜 
饶 则 是 检测 工具 ,入 侵 防 御 系 统 属 于 响应 工具 。 

(3) 注重 理论 与 实践 相 结合 ,强调 实用 。 在 介绍 理论 知识 的 基础 上 ,注重 实践 能 力 
的 培养 ,如 第 5 章 从 理论 到 实践 ,介绍 了 漏洞 的 概念 .漏洞 的 分 类 漏洞 标准 库 、 漏 洞 扫 
描 的 原理 ,漏洞 扫描 的 工具 ,扫描 器 的 实现 。 

本 书 共 分 为 11 章 : 第 1 章 是 绪论 ; 第 2 章 介绍 实现 安全 服务 的 各 种 方法 ; 第 3 章 与 
第 4 章 分 别 介绍 了 操作 系统 安全 数据库 安全 ; 第 5 章 介 绍 系统 漏洞 及 检测 ; 第 6 章 介绍 
网 络 攻击 与 防范 ; 第 7 章 与 第 8 章 分 别 介绍 了 防火 墙 `, 系 统 入 侵 检 测 与 防御 ; 第 9 一 
第 11 章 介绍 了 电子 邮件 安全 、IP 安全 .Web 安全 。 其 中 第 3 一 第 5 章 由 李 琳 编写 ,第 9 一 
第 11 章 由 黄石 编写 ,其 余 各 章 由 曹 天 杰 编 写 .全 书 由 曹 天 杰 负 责 统 稿 。 在 本 书 的 写作 过 
程 中 , 王 宝 忠 、 崔 辉 , 杨 瑞 涵 , 徐 倩 楠 、 汉 倩 、 庞 方 参与 了 部 分 整理 与 校对 工作 ,在 此 特别 致 
谢 。 作 者 希望 ,通过 学 习 这 部 教材 ,读者 可 以 对 计算 机 系统 安全 有 一 个 全 面 深入 的 了 解 。 

本 书 得 到 江苏 省 自然 科学 基金 (No。BK2007035) ,移动 通信 国家 重点 实验 室 开 放 
研究 基金 (No. W200817)、 中 国 矿业 大 学 科技 基金 (No. 0D080309) 的 资助 。 

本 书 可 以 作为 信息 安全 专业 信息 对 抗 专业 ,计算 机 科学 与 技术 专业 、 网 络 工程 专业 或 
其 他 相关 专业 的 本 科 生 和 研究 生 教材 .也 可 以 作为 信息 系统 安全 领域 的 从 业 人 员 参 考 书 。 

由 于 作者 水 平 有 限 , 书 中 药 漏 与 错误 之 处 在 所 难免 , 奶 请 广大 同行 和 读者 批评 指 
正 。 作 者 的 联系 电子 邮箱 为 : tjcao@cumt. edu. cn, 请 随时 联系 索取 课程 资料 。 


作 者 
2010 年 3 月 
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1.1 计算 机 安全 的 内 涵 


随 着 计算 机 的 广泛 应 用 ,以 计算 机 为 核心 的 信息 系统 安全 问题 越 来 越 突 出 。 计 算 机 系 
统 安 全 涉及 物理 环境 `. 计 算 机 硬件 .软件 以 及 数据 传输 等 各 个 方面 。 如 何 采取 有 效 的 措施 保 
护 计算 机 系统 安全 ,是 目前 各 国都 面临 的 问题 。 


1.1.1 基本 概念 


计算 机 系统 (computer system) 也 称 计 算 机 信息 系统 (computer information system)， 
是 由 计算 机 及 其 相关 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,并 按 一 定 的 应 用 目标 和 规则 对 信息 进行 
采集 、 加 工 ,存储 ,传输 ,检索 等 处 理 的 人 机 系统 。 简 言 之 ,计算 机 系统 是 指 信 息 系 统 赖 以 存 
在 的 实体 和 依赖 于 计算 机 实体 所 生成 及 运行 的 信息 系统 。 

计算 机 系统 安全 中 的 “安全 ”一 词 指 将 计算 机 系统 的 服务 和 资源 的 任何 弱点 降 到 最 低 限 
度 。 计 算 机 安全 ,是 指 为 计算 机 系统 建立 和 采取 的 技术 与 管理 的 安全 保护 措施 ,这 些 安全 保 
护 措施 可 以 保护 计算 机 系统 中 的 硬件 .软件 以 及 数据 ,防止 因 偶然 或 恶意 的 厚 因 而 使 系统 或 
信息 遭 到 破坏 `. 更 改 或 泄露 。 

计算 机 系统 安全 包括 物理 安全 ,运行 安全 以 及 信息 安全 三 个 方面 。 

1. 物理 安全 


保护 计算 机 设备 .设施 ( 含 网 络 ) 以 及 其 他 媒体 免 草 地震. 水灾、 火灾 .有 害 气体 和 其 他 环 
境 事故 (如 电磁 污染 等 ) 破 坏 的 措施 和 过 程 。 特 别 是 避免 由 于 电磁 泄漏 产生 信息 泄露 ,从 而 
下 扰 他 人 或 受 他 人 干扰 。 在 信息 系统 安全 中 ,物理 安全 是 基础 。 如 果 物 理 安全 得 不 到 保证 ， 
如 计算 机 设备 遭 到 破坏 ,那么 其 他 的 一 切 安全 措施 就 无 从 谈 起 。 物 理 安全 包括 环境 安全 
(机 房 与 设施 安全 、 环 境 与 人 员 安 全 、 自 然 灾害 防护 ) 、 设 备 安全 ( 防 次 和 防 毁 、 防 止 电 磁 泄 
漏 、 防 止 线 路 截获 、 防 电磁 干扰 、 电 源 保护 ) 和 媒体 安全 (媒体 数据 安全 、 媒 体 本 身 安全 ) 三 
方面 。 

2. 运行 安全 

为 保障 系统 功能 的 安全 实现 ,提供 一 套 安 全 措施 (如 风险 分 析 、 审 计 跟 踪 、 备 份 与 恢复 、 
应 急 等 ) 来 保护 信息 处 理 过 程 的 安全 。 它 侧重 于 保证 系统 正常 运行 ,避免 因为 系统 的 崩溃 和 
损坏 而 对 系统 存储 ` 处 理 和 传输 的 信息 造成 破坏 和 损失 。 和 运行 安全 包括 风险 分 析 、 审 计 跟 
踪 、 备 份 与 恢复 .应 急 四 个 方面 。 

风险 分 析 是 指 为 了 使 计算 机 信息 系统 能 安全 地 运行 ,首先 了 解 影响 计算 机 信息 系统 安 
全 运行 的 诸多 因素 和 存在 的 风险 ,从 而 进行 风险 分 析 , 找 出 克服 这 些 风险 的 方法 。 审 计 跟 踪 
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是 利用 计算 机 信息 系统 所 提供 的 审计 跟踪 工具 ,对 计算 机 信息 系统 的 工作 过 程 进行 详尽 的 
跟踪 记录 ,同时 保存 好 审计 记录 和 审计 日 志 , 并 从 中 发 现 问题 和 及 时 解决 问题 ,保证 计算 机 
信息 系统 安全 可 靠 地 和 运行。 备份 恢 复 与 应 急 措施 应 同时 考虑 。 根 据 所 用 信息 系统 的 功能 特 
性 和 灾难 特点 制定 包括 应 急 反 应 、 备 份 操作 恢复 措施 三 个 方面 内 容 的 应 急 计划 ,一 旦 灾难 
事件 发 生 ,就 可 按 计 划 方 案 最 大 限度 地 恢复 计算 机 系统 的 正常 运行 。 

3. 信息 安全 

信息 是 信息 化 社会 中 的 重要 资源 。 防 止 信息 财产 被 故意 地 或 偶然 地 非 授权 泄露 .更 改 、 
破坏 或 防止 信息 被 非法 系统 辨识 和 控制 ,避免 攻击 者 利用 系统 的 安全 漏洞 进行 窃听 .冒充 、 
诈骗 等 有 损 合 法 用 户 利益 的 行为 ,本 质 上 指 保护 用 户 的 利益 和 隐私 。 

信息 主要 涉及 信息 传输 的 安全 (动态 安全 ) 信息 存储 的 安全 ( 吏 态 安全 ) 以 及 对 网 络 传 
输 信息 内 容 的 审计 三 方面 。 信 息 传输 安全 包括 数据 加 密 、 数 据 完整 性 鉴别 、 防 抵赖 等 ; 信息 
存储 安全 包括 数据 库 安全 ,终端 安全 等 ; 信息 内 容 的 审计 是 指 实 时 对 进出 内 部 网 络 的 信息 
进行 内 容 审计 ,以 防止 或 追查 可 能 的 泄密 行为 。 

计算 机 信息 系统 安全 的 目的 是 保护 计算 机 信息 系统 免 遭 偶发 的 或 有 意 的 非 授权 泄露 、 
修改 ,破坏 或 丧失 处 理 信 息 能 力 , 实 质 是 保护 信息 的 安全 , 即 机 密 性 .完整 性 .可 用 性 和 不 可 
否认 性 。 

。 机 密 性 : 指 信息 不 泄露 给 非 授权 实体 并 供 其 使 用 的 特性 。 

。 完整 性 : 指 信 息 在 存储 和 传输 过 程 中 未 经 授权 不 能 被 改变 的 特性 。 

。 不 可 否认 性 : 指 对 出 现 的 信息 安全 纠纷 (如 抵赖 ) 提 供 调 查 的 依据 和 手段 的 特性 。 

。 可 用 性 : 指 信息 能 够 被 授权 实体 访问 并 按 要 求 使 用 ,信息 系统 能 以 人 们 所 接受 的 质 

量 水 平 持续 运行 ,为 人 们 提供 有 效 的 信息 服务 的 特性 。 

以 上 属性 均 属 于 信息 安全 的 基本 属性 ,此 外 ,还 有 一 些 属性 也 可 用 于 描述 信息 安全 的 不 
同 的 特征 ,如 可 控 性 、 可 审计 性 、 可 生存 性 等 。 

基于 信息 安全 的 作用 点 ,不 同 的 应 用 会 从 不 同 的 层面 来 关注 信息 安全 的 属性 。 面 向 数 
据 的 安全 主要 涉及 保护 信息 的 机 密 性 .完整 性 .可 用 性 和 不 可 否认 性 ; 面向 使 用 者 的 安全 主 
要 涉及 认证 .授权 .访问 控 制 , 不 可 否认 和 可 服务 性 以 及 基于 内 容 的 个 人 隐私 、 知 识 产权 等 的 
保护 ; 面向 管理 者 的 安全 , 除 上 述 层面 外 ,还 包括 可 控 性 。 


1.1.2 计算 机 系统 面临 的 攻击 


一 般 把 对 信息 系统 的 侵害 行为 称 为 攻击 。 计 算 机 系统 所 面临 的 攻击 大 体 上 可 以 分 为 两 
类 : 一 类 是 对 实体 的 攻击 , 另 一 类 是 对 信息 的 攻击 。 

对 实体 的 攻击 主要 指 对 计算 机 及 其 外 部 设备 和 网 络 的 攻击 ,如 各 种 自然 灾害 与 人 为 的 
破坏 .设备 故障 、 场 地 和 环境 因素 的 影响 .电磁场 的 干扰 或 电磁 泄露 .战争 的 破坏 、 各 种 媒体 
的 被 次 和 散失 等 。 对 信息 系统 实体 的 攻击 ,不仅 会 造成 设备 的 损坏 ,而 且 会 造成 信息 系统 机 
密 信 息 的 泄露 和 破坏 。 

对 信息 的 攻击 大 体 可 以 分 为 两 种 : 信息 泄露 和 信息 破坏 。 信 息 泄露 是 指 偶然 地 或 故意 
地 获得 ( 侦 收 、 截 获 . 窃 取 或 分 析 破 译 ) 目 标 系统 中 的 信息 ,特别 是 敏感 信息 。 信 息 破 坏 是 指 
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由 于 偶然 事故 或 人 为 破坏 ,使 信息 的 完整 性 和 可 用 性 受到 破坏 ,如 系统 的 信息 被 修改 、 删 除 、 
添加 、 伪 造 或 非法 复制 ,造成 信息 的 破坏 修改 或 丢失 。 

影响 计算 机 系统 的 因素 很 多 ,有 些 因素 可 能 是 有 意 的 ,也 可 能 是 无 意 的 ; 可 能 是 人 为 
的 ,也 可 能 是 非 人 为 的 ; 可 能 是 内 部 人 为 ,也 可 能 是 外 部 攻击 。 

1 分 类 


1) 被 动 攻击 

根据 攻击 方法 的 不 同 , 攻 击 可 分 为 被 动 攻击 和 主动 攻击 两 种 。 

被 动 攻击 是 指 一 切 以 窃 密 为 目的 的 攻击 , 它 的 特点 是 偷 听 或 监视 传送 ,在 不 干扰 系统 正 
常 工作 的 情况 下 侦 收 、 截 获 .窃取 系统 信息 ,以 便 破译 分 析 。 例 如 利用 观察 信息 .控制 信息 的 
内 容 来 获得 目标 系统 的 位 置 和 身份 ; 利用 信息 长 度 和 传递 的 频 度 获 得 信息 的 某 些 性 质 。 被 动 
攻击 不 容易 被 用 户 察觉 出 来 ,因此 它 的 攻击 持续 性 和 危害 性 都 很 大 。 被 动 攻击 的 主要 方法 有 : 

(1) 直接 侦 收 。 利 用 电磁 传感器 或 隐藏 的 收发 设备 直接 侦 收 或 搭 线 侦 收 信息 系统 的 中 
央 处 理 机 、 外 围 设备 .终端 设备 .通信 设备 或 线路 上 的 信息 。 

(2) 截获 信息 。 系 统 及 设备 在 运行 时 ,散射 的 寄生 信和 号 容易 被 截获 。 如 离 计 算 机 显示 
终端 百 米 左右 仍 可 以 接收 到 稳定 、 清 晰 可 辨 的 信息 图 像 。 此 外 ,短波 、 超 短波 、 微 波 和 卫星 等 
无 线 电 通信 设备 有 相当 大 的 辐射 量 ,市话 线路 \ 长 途 架 空 明 线 等 电磁 辐射 也 相当 严重 ,因此 
可 截获 系统 设备 的 电磁 辐射 信息 。 

(3) 合法 窃取 。 利 用 合法 用 户 身 份 ,设法 窃取 未 被 授权 的 信息 。 例 如 ,在 统计 数据 库 
中 ,利用 多 次 查询 数据 的 合法 操作 ,推导 出 不 该 了 解 的 机 密 信息 。 

(4) 破译 分 析 。 对 于 已 经 加 密 的 信息 ,利用 各 种 破译 分 析 手 段 ,获得 机 密 信息 。 

(5) 从 遗弃 的 媒体 中 分 析 获 取信 息 。 如 从 遗弃 的 打印 纸 、 各 种 记录 和 统计 报表 , 窍 取 或 
丢失 的 软盘 片 中 获得 有 用 信息 。 

2) 主动 攻击 

主动 攻击 是 指 算 改 信息 的 攻击 , 它 不 仅 能 窍 密 , 而 且 还 威胁 到 信息 的 完整 性 。 主 动 攻击 
有 选择 地 修改 、 删 除 、 添 加 、 伪 造 和 重 排 信息 内 容 , 造 成 信息 破坏 。 主 动 攻 击 的 主要 方法 有 以 
下 几 种 。 

(1) 窃取 并 干扰 通信 线路 中 的 信息 。 

(2) 返回 渗透 。 有 选择 地 截获 系统 中 央 处 理 机 的 通信 ,然后 将 伪 信 息 返 回 给 系统 用 户 。 

(3) 线 间 插 入 。 当 合法 用 户 已 占用 信道 ,但 是 终端 设备 还 没有 动作 时 ,插入 信息 进行 窃 
听 或 信息 破坏 活动 。 

(4) 非法 冒充 。 采 取 非 常规 的 方法 和 手段 .窃取 合法 用 户 的 标识 符 , 冒 充 合法 用 户 进行 
窃取 或 信息 破坏 。 

(5) 系统 人 员 的 窃 密 和 毁坏 系统 数据 .信息 的 活动 等 。 

主动 攻击 具有 与 被 动 攻击 相反 的 特点 。 虽 然 很 难 检测 出 被 动 攻 击 , 但 可 以 采取 措施 防 
止 被 动 攻击 。 相 反 .很 难 预防 主动 攻击 ,因为 这 样 需要 随时 对 所 有 的 通信 工具 和 路 径 进 行 完 
全 的 保护 。 防 止 主动 攻击 的 做 法 是 对 攻击 进行 检测 ,并 从 它 引起 的 中 断 或 延迟 中 恢复 过 来 ， 
因为 检测 具有 威慑 的 效果 。 


| 
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2 方法 
下 面 列 举 几 种 对 信息 系统 常见 的 攻击 方法 。 
1) 暴力 攻击 


运用 计算 和 网 络 资源 尝试 密码 的 每 一 种 可 能 组 合 , 称 为 暴力 攻击 。 因 为 这 常常 是 重复 
猜测 用 户 账 户 的 密码 ,有 时 也 称 为 密码 攻击 。 

2) 拒绝 服务 攻击 

在 拒绝 服务 攻击 中 ,攻击 者 给 目标 发 送 很 多 连接 或 信息 请 求 , 目 标 系统 无 法 成 功 地 处 理 
如 此 多 的 请 求 以 及 其 他 合法 的 服务 请 求 , 这 将 引起 系统 崩溃 或 者 无 法 执行 日 常 功能 。 任 何 
连接 到 因特网 并 提供 基于 TCP 网 络 服务 的 系统 (比如 Web 服务 器 .FTP 服务 器 或 邮件 服 
务 器 ) 都 是 拒绝 服务 攻击 的 潜在 目标 。 

3) 嗅 探 

嗅 探 器 是 指 能 够 监视 在 网 络 上 传输 的 数据 的 程序 或 者 设备 。 嗅 探 器 可 用 于 合法 的 网 络 
管理 ,也 可 用 于 从 网 络 上 窃取 信息 。 未 授权 的 嗅 探 器 对 于 网 络 安全 来 说 是 非常 危险 的 ,因为 
他 们 实际 上 不 可 能 被 发 现 ,但 几乎 可 能 入 任何 地 方 。 嗅 探 器 经 常 工作 在 TCP/IP 的 网 络 上 ， 
它们 有 时 称 为 数据 包 嗅 探 器 。 嗅 探 器 给 网 络 增加 了 危险 ,因为 许多 系统 和 用 户 在 本 地 网 络 
上 通过 明文 发 送信 息 。 嗅 探 器 可 以 显示 出 所 有 通过 的 数据 ,包括 口令 和 文件 中 的 数据 。 

4) 欺骗 

欺骗 是 一 种 用 来 非法 访问 计算 机 的 技术 。 例 如 攻击 者 要 进行 IP 地 址 欺骗 ,会 首先 找到 
一 台 可 信赖 的 主机 的 IP 地 址 ,然后 更 改 数据 包 ( 如 图 1-1 所 示 ) ,使 这 个 数据 包 看 上 去 来 自 
这 人 台 可 信赖 的 主机 。 


IP 源 : IP 目 标 地 址 : 来 自 于 黑客 系统 
192.168.0.25 | 100.0.0.75 的 源 IP 数 据 包 
数据 : 负载 | 正 源 : IP 目 标 地 址 : 欺骗 后 (更 改 后 ) 
100.0.0.80 100.0.0.75 的 也 数据 包 
一 Hr (O) 
黑客 更 改 源 地 址 防火 墙 允许 数据 欺骗 后 的 数据 包 进 
欺骗 防火 墙 包 通 过 ， 将 其 误 入 内 联网 进行 破坏 
认为 合法 的 通信 
1-1 JIP 欺骗 


5) 社会 工程 

在 信息 安全 中 ,社会 工程 是 指使 用 社交 技能 欺骗 人 们 。 比 如 ,攻击 者 打 电 话 给 公司 的 总 
机 , 问 出 总 经 理 的 名 字 , 然 后 给 公司 其 他 人 打 电 话 时 提 及 总 经 理 的 名 字 , 抬 高 自己 的 身份 ( 虽 
然 是 假 的 ) ,以 便 获 得 更 多 的 信息 。 有 时 攻击 者 使 用 威胁 、 哄 骗 或 者 乞求 等 手段 来 动摇 目标 
对 象 。 


第 1 章 绪论 5 


1.2 安全 策略 、 机 制 与 服务 


1.2.1 安全 策略 


安全 策略 是 指 在 一 个 特定 的 环境 里 (安全 区 域 ) ,为 了 保证 提供 一 定 级 别 的 安全 保护 所 
必须 遵守 的 一 系列 条 例 和 规则 。 例 如 ,可 以 将 安全 策略 定义 为 : 系统 中 的 用 户 和 信息 被 划 
分 为 不 同 的 层次 ,一 些 级 别 比 另 一 些 级 别 高 。 当 且 仅 当主 体 的 级 别 高 于 或 等 于 客体 的 级 别 ， 
主体 才能 读 访 问 客体 ; 当 且 仅 当 主体 的 级 别 低 于 或 等 于 客体 的 级 别 ,主体 才能 写 访 问 客体 。 

一 种 安全 策略 实质 上 表明 所 涉及 的 系统 在 进行 一 般 操 作 时 ,在 安全 范围 内 什么 是 允许 
的 ,什么 是 不 允许 的 。 策 略 通常 不 作 有 具体 规定 , 它 只 是 提出 什么 是 最 重要 的 ,而 不 确切 地 说 
明 如 何 达 到 所 和 希望 的 这 些 结果 。 

安全 策略 都 建立 在 授权 的 基础 之 上 ,一 般 按 授权 性 质 的 不 同 区 分 不 同 的 策略 。 在 安全 
策略 中 包含 对 “什么 构成 授权 ”的 说 明 。 在 一 般 性 的 安全 策略 中 可 能 写 有 “未 经 适当 授权 的 
实体 ,信息 不 得 给 予 .不 被 授权 不 允许 引用 ,任何 资源 也 不 得 为 其 使 用 ”。 

按照 所 涉及 的 授权 的 性 质 可 将 策略 分 为 三 种 ,基于 规则 的 策略 、 基 于 身份 的 策略 、 基 于 
角色 的 策略 。 

基于 身份 的 安全 策略 使 用 建立 在 不 多 的 一 般 属性 或 敏感 类 之 上 的 规则 ,它们 通常 是 强 
加 的 。 它 的 基础 是 用 户 的 身份 和 属性 以 及 被 访问 的 资源 或 客体 的 身份 和 属性 。 在 一 定 程度 
上 与 “必须 认识 ”的 安全 观念 相当 。 它 的 目的 是 过 滤 对 数据 或 资源 的 访问 。 基 本 上 有 两 种 执 
行 基于 身份 的 策略 的 方法 ,将 有 关 访 问 权 的 信息 视 为 访问 者 所 拥有 ,或 是 视 为 被 访问 数据 的 
一 部 分 。 前 者 的 例子 为 特权 标识 或 权力 .给予 用 户 并 为 代表 该 用 户 进行 活动 的 进程 所 使 用 ， 
后 者 的 例子 为 访问 控制 表 。 这 两 种 情况 下 ,数据 项 的 大 小 可 以 有 很 大 的 变化 (从 完整 的 文件 
到 数据 元 素 ) ,这 些 数 据 项 可 以 按 权力 命名 ,或 带 有 它 自己 的 访问 控制 表 。 

基于 规则 的 安全 策略 涉及 建立 在 特定 的 .个 体 化 属性 之 上 的 授权 准则 ,假定 某 些 属性 与 
被 应 用 实体 永久 相关 联 , 而 其 余 属 性 可 以 是 某 种 占有 物 ( 如 权力 ) ,它们 可 传送 给 另外 的 实 
体 。 它 的 基础 是 强加 于 全 体 用 户 的 总 安全 策略 ,是 为 了 以 最 小 的 代价 ,保证 信息 系统 的 安 
全 ,使 信息 系统 发 挥 最 大 的 效益 。 基 于 规则 的 安全 策略 中 的 授权 通常 依赖 于 敏感 性 。 在 一 
个 安全 系统 中 ,数据 或 资源 应 该 标注 安全 标记 。 代 表 用 户 进行 活动 的 进程 可 以 得 到 与 其 原 
发 者 相应 的 安全 标记 。 

基于 角色 的 安全 策略 按 角色 使 用 授权 机 制 , 它 为 每 个 个 体 分 配角 色 , 按 角色 分 配 许可 。 


1.2.2 安全 机 制 


安全 策略 确定 以 后 ,需要 由 不 同 的 安全 机 制 来 实施 。 安 全 机 制 是 实施 安全 策略 的 方法 、 
工具 或 者 音程 。 如 果 给 定 对 “安全 ”和 “ 非 安 全 ”行为 进行 描述 的 安全 策略 规范 ,安全 机 制 就 
能 够 阻止 攻击 ,检测 攻击 ,或 者 遭 到 攻击 后 恢复 工作 。 例 如 : 假如 安全 策略 设 定 为 禁止 任何 
学 生 复制 其 他 学 生 的 作业 文件 。 计 算 机 系统 提供 防止 其 他 人 阅读 用 户 文件 的 机 制 。Anna 
没有 使 用 这 些 机 制 来 保护 她 的 作业 文件 ,并 且 被 Bill 复制 了 作业 。 这 就 发 生 了 安全 破坏 , 因 


6 计算 机 系统 安全 教程 


为 Bill 违反 了 安全 策略 。Anna 未 能 保护 好 她 的 文件 ,但 她 并 未 授权 Bill 复制 她 的 作业 。 安 
全 机 制 可 单独 实施 ,也 可 以 组 合 使 用 。 通 常 有 三 类 安全 机 制 : 预防 .检测 和 人 恢复。 典型 的 安 
全 机 制 有 以 下 几 种 。 

1. 加 密 机 制 

通过 加 密 .解密 ,不 仅 可 以 实现 数据 安全 存储 和 安全 传输 ,也 可 以 实现 身份 鉴别 .数据 完 
整 性 ,不 可 否认 性 等 特性 ,从 而 保证 信息 的 安全 。 采 用 加 密 技 术 , 可 以 有 效 地 防止 信息 的 未 
授权 读 取 和 修改 ,抵赖 .否认 和 伪造 ,以 及 通信 业务 流 分 析 。 

2. 数字 签名 机 制 

数字 签名 机 制 用 于 实现 抗 抵赖 和 不 可 否认 服务 及 鉴别 对 方 身份 真实 性 等 特殊 服务 的 场 
合 。 数 字 签 名 机 制 的 主要 特征 是 : 不 使 用 秘密 密 钥 就 不 能 建立 签名 数据 单元 。 这 说 明 数 字 
签名 具有 以 下 特征 : 除了 掌握 秘密 密 钥 的 人 以 外 ,任何 人 都 不 能 建立 数字 签名 ; 接收 者 不 
能 建立 签名 数据 单元 ; 发 送 者 不 能 否认 曾经 发 送 过 签名 的 数据 单元 。 

3. 访问 控制 机 制 

访问 控制 机 制 实施 对 资源 的 访问 加 以 限制 的 策略 , 即 规定 不 同 主体 对 不 同 客体 的 操作 
权限 ,目的 是 只 允许 被 授权 用 户 访问 敏感 资源 ,拒绝 未 授权 用 户 的 访问 。 可 采用 的 技术 有 访 
问 控制 矩阵 ,口令 、 能 力 表 等 ,它们 可 以 说 明 用 户 的 访问 权限 。 

4. 数据 完整 性 机 制 

数据 完整 性 机 制 保护 单个 数据 单元 和 整个 数据 单元 的 完整 性 ,包括 各 种 信息 流 错误 检 

5. 鉴别 交换 机 制 

数据 鉴别 交换 机 制 指 信息 交换 双方 之 间 的 相互 鉴别 。 当 交换 信息 的 双方 和 通信 手段 均 
可 信任 时 ,可 通过 口令 来 鉴别 ; 当 交 换 信息 双方 可 信 , 而 通信 手段 不 可 靠 时 ,可 由 密码 技术 
加 以 保护 ; 当 交 换 信息 双方 互 不 信任 时 ,可 使 用 数字 签名 等 技术 来 实现 抗 抵 抗 服务 。 

6. 路 由 选择 机 制 

通过 路 由 选择 机 制 ,可 保证 数据 只 在 物理 上 安全 的 路 由 上 传输 ,保证 机 密 信息 只 在 具有 
适当 保护 措施 的 路 由 上 传输 。 

7. 抗 信息 流 分 析 机 制 

该 机 制 通过 产生 伪 通 信 业 务 ,将 数据 单元 通信 量 填充 到 预定 的 数量 ,以 防止 通过 通信 业 
务 流 分 析 获 取 业 务 流量 信息 。 在 具体 实施 时 ,应 注意 加 密 和 伪装 ,以 避免 非法 用 户 区 分 出 伪 
通信 业务 和 真正 的 通信 业务 。 

8. 公证 机 制 

在 通信 过 程 中 ,信息 的 完整 性 、 信 源 .通信 时 间 和 目的 地 、 密 钥 分 配 数字 签名 等 , 均 可 以 
借助 公证 机 制 加 以 保证 。 保 证 是 由 第 三 方 公证 机 制 提供 , 它 接受 通信 实体 的 委托 ,并 掌握 可 
供 证 明 的 可 信赖 的 所 需 信 息 。 公 证 可 以 是 仲裁 方式 或 判决 方式 的 。 

9. 环境 安全 机 制 

物理 机 制 的 安全 是 保证 信息 安全 的 重要 措施 。 硬 件 、 软 件 和 通信 安全 的 第 一 道 安全 屏 
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障 就 是 物理 环境 的 保护 ,必须 有 适应 不 同 策略 要 求 的 保护 措施 。 

10. 审查 与 控制 机 制 

各 种 各 样 的 防护 措施 均 离 不 开 人 的 掌握 和 控制 ,因此 ,系统 的 安全 最 终 是 由 人 来 控制 
的 。 安 全 离 不 开 人 员 的 审查 ,控制 和 管理 ,要 通过 制定 、 执 行 和 实施 各 种 管理 制度 以 及 各 种 
安全 保护 条 例 来 实现 。 


1.2.3 安全 服务 


安全 服务 (security service) 是 由 安全 机 构 所 提供 的 主要 的 安全 功能 。 安 全 机 构 是 实现 
和 执行 各 种 安全 策略 的 功能 的 集合 。 安 全 策略 是 提供 安全 服务 的 一 套 准 则 。 一 项 安全 服务 
可 以 由 若干 项 安全 机 制 来 实现 。 安 全 服务 提供 者 对 信息 的 机 密 性 、 完 整 性 和 来 源 的 真实 性 
进行 保护 和 鉴别 的 过 程 称 为 安全 服务 。 

针对 网 络 系统 受到 的 威胁 ,OSI 安全 体系 结构 提出 了 5 类 安全 服务 。 

1. 认证 服务 

认证 服务 提供 通信 对 等 实体 认证 和 数据 来 源 认 证 。 对 等 实体 认证 用 于 开放 系统 的 同等 
层 中 的 实体 在 建立 连接 或 数据 传输 阶段 ,对 对 方 实体 (用 户 或 进程 ) 的 合法 性 真实 性 进行 确 
认 , 以 防止 假冒 。 认 证 可 以 是 单 向 或 双向 的 。 数 据 来 源 认 证 服务 用 于 对 数据 单元 的 来 源 提 
供 确 认 ,证 明 某 数据 与 某 实 体 有 着 静态 不 可 分 的 关系 。 但 它 对 数据 单元 的 重复 不 提供 认证 
保护 。 

2. 访问 控制 服务 

访问 控制 服务 可 以 防止 未 经 授权 的 用 户 非法 使 用 系统 资源 。 这 种 服务 不 仅 可 以 提供 给 
单个 用 户 ,也 可 以 提供 给 封闭 用 户 组 中 的 所 有 有 用户。 在 用 户 身 份 得 到 认证 和 授权 以 后 ,访问 
控制 服务 将 根据 预先 设 定 的 规则 对 用 户 访 问 某 项 资源 进行 控制 ,只 有 规则 允许 时 才能 访问 ， 
违反 预定 的 安全 规则 的 访问 行为 将 被 拒绝 。 

3. 数据 机 密 性 服务 

数据 机 密 性 服务 的 目的 是 保护 网 络 中 各 系统 之 间 交 换 的 数据 ,防止 因数 据 被 截获 而 造 
成 的 泄密 。 加 密 可 向 数据 或 业务 流 信息 提供 保密 性 ,并 且 可 以 对 其 他 安全 机 制 起 作用 或 对 
它们 进行 补充 。 

4. 数据 完整 性 服务 

这 种 服务 用 来 防止 非法 实体 对 用 户 的 主动 攻击 ,以 保证 数据 接收 方 收 到 的 信息 与 发 送 
方 发 送 的 信息 完全 一 致 。 

确定 单个 数据 单元 的 完整 性 涉及 两 个 处 理 ,一 个 在 发 送 实体 时 进行 ,一 个 在 接收 实体 时 
进行 。 发 送 实体 给 数据 单元 附加 一 个 分 组 校 验 码 或 密码 校 验 值 之 类 的 补充 信息 ,而 且 它 本 
身 可 以 被 加 密 。 接 收 实体 进行 验证 比较 ,确定 该 数据 在 传输 过 程 中 是 否 被 算 改 。 

5. 不 可 否认 性 服务 

这 种 服务 有 两 种 形式 : 第 一 种 是 源 发 证 明 ,为 数据 的 接收 者 提供 数据 来 源 的 证 据 , 它 用 
来 防止 发 送 数据 方 发 送 数据 后 否认 自己 发 送 过 数据 。 第 二 种 形式 是 交付 证 明 ,为 数据 的 发 
送 者 提供 数据 交付 证 据 , 它 用 来 防止 接收 方 接收 数据 后 否认 自己 收 到 过 数据 。 
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1.3 纵深 防御 


不 论 攻击 和 防守 ,对 信息 安全 来 说 都 是 过 程 , 信 息 安全 是 否 成 功 关 键 在 于 对 过 程 的 把 
握 。 在 这 个 过 程 中 设置 的 防御 层 数 越 多 ,对 系统 资源 进行 未 授权 访问 的 难度 就 越 大 。 我 们 
通过 提供 元 余 防御 层 来 确保 安全 性 ,在 某 一 层 或 者 在 某 些 情况 下 多 个 层 被 攻破 时 ,元 余 防御 
层 能 够 对 资源 进行 保护 。 


1.3.1 纵深 防御 体系 的 概念 


安全 体系 不 应 只 依靠 单一 安全 机 制 和 多 种 安全 服务 的 堆砌 ,应 该 建立 互相 支撑 的 多 种 
安全 机 制 ,建立 具有 协议 层次 和 纵向 结构 层次 (信息 流 方向 ) 的 完备 体系 ,通过 多 层 机 制 互相 
支撑 来 获取 整个 信息 系统 的 安全 。 这 种 原则 在 日 常生 活 中 也 是 常见 的 ,例如 大 门 上 既 安 装 
了 门 锁 ,又 安装 了 插销 ; 汽车 要 开车 门 还 要 开 点 火器 才能 发 动 等 。 

纵深 防御 (defense-in-depth) 最 初 来 源 于 军事 战略 ,有 时 也 称 为 弹性 防御 或 是 深层 防 
御 , 是 以 全 面 深入 的 防御 去 拖延 而 不 是 阻止 前 进 中 的 敌人 ,通过 放弃 空间 来 换取 时 间 而 抵御 
敌人 。 有 别 于 通过 一 个 单一 而 强大 的 防御 战线 去 防御 敌人 ,纵深 防御 试图 用 下 列 方式 阻击 
敌人 : (1) 使 攻击 潮流 在 一 段 时 间 内 失去 动能 ; (2) 使 攻击 方 在 一 个 广大 地 区 内 失去 攻击 
能 力 。 

对 防御 者 而 言 , 他 会 放弃 在 领土 上 相对 微弱 的 抵抗 ,全 力 压 迫 攻击 方 的 后 勤 补给 ,或 是 
切 制 敌 方 在 数量 上 的 优势 的 兵力 。 一 旦 攻击 方 失去 其 动能 ,或 是 在 大 部 分 地 区 被 切割 后 的 
兵力 数量 优势 不 再 ,防御 反攻 将 发 动 。 其 主旨 在 于 促使 敌 方 资源 的 消耗 ,进而 带动 消耗 战 ， 
或 是 假使 攻击 方 退回 原本 攻击 起 始点 。 

纵深 防御 思想 是 近年 来 才 发 展 起 来 的 , 它 从 各 个 层面 (包括 主机 、 网 络 、 系 统 边 界 和 支撑 
性 基础 设施 等 ) ,根据 信息 资产 保护 的 不 同等 级 来 保障 信息 与 信息 系统 的 安全 ,实现 预警 . 保 
护 、 检 测 、 反 应 和 恢复 这 五 个 安全 内 容 。 纵 深 防 御 是 美国 国防 部 提出 的 信息 保障 策略 ,该 策 
略 的 基本 原理 可 应 用 于 任何 机 构 的 信息 系统 或 网 络 之 中 。 

纵深 防御 体系 就 是 将 分 散 系统 整合 成 一 个 异 构 网 络 系统 ,基于 联动 联防 和 网 络 集中 管 
理 、 监 控 技术 ,将 所 有 信息 安全 和 数据 安全 产品 有 机 地 结合 在 一 起 ,在 漏洞 预防 、 攻 击 处 理 、 
破坏 修复 三 方面 给 用 户 提 供 整体 的 解决 方案 ,能 够 极 大 地 提高 系统 防护 效果 ,降低 网 络 管理 
的 风险 和 复杂 性 。 同 时 由 于 黑客 攻击 的 方式 具有 高 技巧 性 、 分 散 性 、 随 机 性 和 局 部 持续 性 的 
特点 ,因此 即使 是 多 层面 的 安全 防御 体系 ,如 果 是 静态 的 ,也 无 法 抵御 来 自 外 部 和 内 部 的 攻 
击 , 只 有 将 众多 的 攻击 手法 进行 搜集 、 归 类 分析、 消化 .综合 ,将 其 体系 化 , 才 有 可 能 使 防御 
系统 与 之 相 匹 配 、 相 符合 ,以 自动 适应 攻击 的 变化 ,从 而 形成 动态 的 安全 防御 体系 。 


1.3.2 网 络 防御 模型 


信息 保障 技术 框架 (Information Assurance Technical Framework,IATF) 由 美国 国家 
安全 局 NSA 起 草 颁 布 。 在 IATF 中 定义 了 对 一 个 系统 进行 信息 保障 的 过 程 以 及 系统 中 所 
有 部 件 的 安全 需求 。 遵 循 这 些 原则 ,信息 保障 被 分 成 4 个 部 分 : 保护 (protect)、 检 测 
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(detect)、 啊 应 (respond) 和 恢复 (restore) , 即 所 谓 的 PDRR 模型 ,如 图 1-2 所 示 。 
。 保护: 通过 传统 的 静态 安全 技术 和 方法 可 用 来 实现 保护 的 环节 ,包括 系统 加 固 、 防 
火 墙 . 加 密 机 制 .访问 控制 和 认证 等 。 

。 检测 : 检测 在 PDRR 模型 中 占据 着 重要 的 地 位 , 它 是 动态 响应 和 进一步 加 强 保护 的 
依据 ,也 是 强制 落实 安全 策略 的 有 力 工 具 。 只 有 检测 和 监控 信息 系统 (通过 漏洞 扫 
描 和 入 侵 检 测 等 手段 ) ,及 时 发 现 新 的 威胁 和 漏洞 ,才能 在 循环 反馈 中 作出 有 效 的 
响应 。 
响应 : 响应 和 检测 环节 是 紧密 关联 的 ,只 有 对 检测 中 发 现 的 问题 作出 及 时 有 效 的 处 
理 ,才能 将 信息 系统 迅速 调整 到 新 的 安全 状态 ,或 者 叫 最 低 风 险 状 态 。 

。 恢复 : 恢复 环节 对 于 信息 系统 和 业务 活动 的 生存 起 着 至 关 重 要 的 作用 ,组 织 只 有 建 

立 并 采用 完善 的 恢复 计划 和 机 制 , 其 信息 系统 才能 在 重大 灾难 事件 中 尽快 恢复 并 延 
续 业 务 。 

在 这 个 模型 的 基础 上 ,有 人 提出 在 前 面 加 上 预警 (waring), 在 后 面 加 上 反击 
《counterattack) ,形成 如 图 1-3 所 示 的 层次 结构 。 预 警 是 指 根据 对 已 经 发 生 的 网 络 攻击 或 
正在 发 生 的 网 络 攻击 及 其 趋势 的 分 析 , 以 及 对 本 地 网 络 的 安全 性 分 析 , 对 可 能 发 生 的 网 络 攻 
击 提出 警告 。 反 击 是 指 遭 受到 网 络 攻击 后 ,除了 及 时 阻止 网 络 攻击 外 ,还 要 及 时 恢复 遭 到 破 
坏 的 本 地 系统 ,并 及 时 地 对 外 提供 正常 的 服务 。 


C= 


1-2 PDRR 模型 1-3 WPDRRC 模型 


该 模型 全 面 涵盖 了 各 个 安全 因素 ,突出 了 人 、 策 略 ,管理 的 重要 性 ,反映 了 各 个 安全 组 件 
之 间 的 内 在 联系 。 这 三 个 要 素 相 互 依存 ,相互 配合 ,相互 支撑 ,相互 制约 ,相互 之 间 具 有 层次 
和 互动 关系 。 

人 : 包括 用 户 、 运 行 管理 员 ( 系 统管 理 员 、 网 络 管理 员 等 )、 安 全 管理 员 ( 安 全 管理 员 、 密 
钥 管理 员 等 ) .安全 审计 管理 员 等 ; 这 是 整个 体系 中 最 活跃 .最 能 动 . 最 主要 的 因素 ,是 主导 
者 、 操 作者 。 

管理 : 包括 技术 管理 (应 用 、 研 发 .运行 .安全 保密 测评 .应急 响应 等 ) .行政 管理 (组 织 
认证 .认可 应急 处 置 .法 律 法 规 .标准 .规范 规程 .规章 制度 、 安 全 策略 制订 .宣传 教育 . 培 
训 等 ) 。 

许多 信息 安全 问题 是 由 于 管理 不 善 造成 的 ,而 这 些 安 全 问题 大 多 可 以 通过 科学 的 信息 
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安全 管理 来 避免 。 因 此 ,管理 已 成 为 信息 安全 保障 能 力 的 重要 基础 。 目 前 ,信息 安全 管理 已 
成 为 世界 信息 安全 研究 领域 的 重点 和 难点 ,信息 安全 管理 标准 也 成 为 信息 安全 标准 体系 的 

技术 : 各 种 安全 防护 技术 (物理 隔离 .防火墙 VPN、 身 份 认证 ,访问 控制 .入 侵 检测 、 漏 
洞 扫描 、 加 密 、 安 全 审计 ,病毒 防护 ,非法 外 连 监控 操作 系 统 安全 数据库 安 全 ,数据 备份 、 灾 
难 恢复 及 应 急 响 应 等 )。 信 息 安 全 保密 技术 是 不 断 发 展 、 不 断 完善 .不 断 涌现 的 。 并 且 呈 现 
出 从 离散 、 单 一、 独立 的 各 个 技术 产品 向 产品 功能 集成 .各 类 产品 联动 发 展 的 趋势 。 


1.4 信息 系统 安全 保护 等 级 划分 准则 


信息 系统 安全 等 级 保护 应 依据 信息 系统 的 安全 保护 等 级 情况 ,保证 它们 具有 相应 等 级 
的 基本 安全 保护 能 力 ,不 同安 全 保护 等 级 的 信息 系统 要 求 具有 不 同 的 安全 保护 能 力 。 

国家 标准 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 是 开展 等 级 保护 
工作 的 基础 性 标准 ,是 信息 安全 等 级 保护 系列 标准 编制 .系统 建设 与 管理 .产品 研发 .监督 检 
查 的 科学 技术 基础 和 依据 。 这 个 标准 将 计算 机 信息 系统 的 安全 性 从 低 到 高 划分 为 5 个 等 
级 ,分 别 为 用 户 自 主 保护 级 .系统 审计 保护 级 .安全 标记 保护 级 .结构 化 保护 级 和 访问 验证 保 
护 级 ,高 级 别 安 全 要 求 是 低级 别 要 求 的 超 集 。 随 着 安全 保护 等 级 的 提高 ,计算 机 信息 系统 安 
全 保护 能 力 逐 渐 增 强 。 


1.4.1 第 一 级 用 户 自主 保护 级 


用 户 自主 保护 级 的 计算 机 信息 系统 可 信 计 算 基 (Trusted Computing Base, TCB) 通 过 
隔离 用 户 与 数据 ,使 用 户 具 备 自主 安全 保护 的 能 力 。 它 具有 多 种 形式 的 控制 能 力 ,对 用 户 实 
施 访 问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非 
法 读 写 与 破坏 。 可 信 计 算 基 是 指 计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬件 .固件 .软件 和 负 
责 执 行 安全 策略 的 组 合体 , 它 建立 了 一 个 基本 的 保护 环境 并 提供 一 个 可 信 计 算 系统 所 要 求 
的 附加 用 户 服务 。 

本 级 实施 的 是 自主 访问 控制 , 即 通过 TCB 定义 系统 中 的 用 户 和 命名 用 户 对 命名 客体 的 
访问 。 在 本 安全 级 中 ,应 允许 命名 用 户 以 用 户 或 用 户 组 的 身份 规定 客体 的 共享 权限 并 实施 
访问 控制 ,并 阻止 非 授权 用 户 读 取 敏 感 信息 。 这 意味 着 系统 用 户 或 用 户 组 可 以 通过 TCB 自 
主 地 定义 主体 对 客体 的 访问 权限 。 

本 级 别 为 用 户 提 供 身 份 鉴别 , 即 在 系统 初始 化 时 ,TCB 首先 要 求 用 户 标识 自己 的 身份 ， 
然后 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 户 的 身份 ,并 实施 对 客体 的 自主 访问 控制 ,避免 “ 非 
法 ”用 户 数据 的 读 写 或 破坏 。 

从 数据 完整 性 角度 看 ,TCB 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修 改 或 破坏 敏感 
信息 。 


1.4.2 第 二 级 系统 审计 保护 级 
与 用 户 自主 保护 级 相 比 ,系统 审计 保护 级 的 计算 机 信息 系统 TCB 实施 了 粒度 更 细 的 自 
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主 访问 控制 ,通过 登录 规程 .审计 与 安全 相关 的 事件 和 隔离 资源 等 措施 ,使 用 户 对 自己 的 行 
为 负责 。 

本 级 实施 的 是 自主 访问 控制 和 客体 (object, 信 息 的 载体 ) 的 安全 重用 。 在 自主 访问 控 
制 方面 ,TCB 实施 的 自主 访问 控制 粒度 是 单个 用 户 , 并 控制 访问 控制 的 扩散 , 即 没 有 访问 权 
的 用 户 只 允许 由 授权 用 户 指 定 其 对 客体 的 访问 权 。 在 客体 的 安全 重用 方面 ,客体 被 初始 指 
定 或 分 配给 一 个 主体 之 前 ,或 在 客体 再 分 配 之 前 ,必须 撤销 该 客体 所 含 信息 的 授权 ; 当 一 个 
主体 (subject, 引 起 信息 在 客体 之 间 流 动 的 人 、 进 程 或 设备 等 ) 获 得 一 个 客体 的 访问 权时 ,对 
当前 主体 而 言 , 原 主体 的 活动 所 产生 的 任何 信息 都 是 不 可 获得 的 。 

从 用 户 的 角度 来 看 ,系统 审计 保护 级 有 两 个 功能 : 身份 鉴别 和 安全 审计 。 

本 级 的 身份 鉴别 比 用 户 自 主 保护 级 增加 两 点 : (1) 为 用 户 提供 唯一 的 标识 ,确保 用 户 对 
自己 的 行为 负责 ; (2) 为 支持 安全 审计 功能 ,具有 将 身份 标识 与 用 户 所 有 可 审计 的 行为 相关 
联 的 能 力 。 

计算 机 信息 系统 TCB 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 非 授 权 
的 用 户 对 它 访 问 或 破坏 。TCB 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 址 
空间 (例如 : 打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 管 
理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事件 
的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 的 来 源 
(例如 : 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 
客体 名 。 对 不 能 由 TCB 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接口 ,可 由 授权 主体 
调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 记录 。 

在 数据 完整 性 方面 ,TCB 应 提供 并 发 控制 机 制 ,以 确保 多 个 主体 对 同一 客体 的 正确 
访问 。 


1.4.3 第 三 级 ”安全 标记 保护 级 


安全 标记 保护 级 的 计算 机 信息 系统 TCB 除 具 有 系统 审计 保护 级 的 所 有 功能 外 ,还 提供 
有 关 安 全 策略 模型 .数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ,具有 准确 地 标 
记 输 出 信息 的 能 力 ,可 消除 通过 测试 发 现 的 任何 错误 。 

本 级 的 计算 机 信息 系统 TCB 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 
制 ( 如 访问 控制 表 ) 允 许 命 名 用 户 以 用 户 或 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 授 
权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根 据 用 户 指定 方式 或 默认 
方式 ,阻止 非 授 权 用 户 访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 没 有 访问 权 的 用 户 只 允许 
由 授权 用 户 指定 对 客体 的 访问 权 。 阻 止 非 授 权 用 户 读 取 敏感 信息 。 

TCB 对 所 有 主体 及 其 所 控制 的 客体 (例如 : 进程 文件、 段 . 设 备 ) 实 施 强制 访问 控制 ， 
为 这 些 主体 及 客体 指定 敏感 标记 (sensitivity label, 表 示 客 体 安全 级 别 并 描述 客体 数据 敏感 
性 的 一 组 信息 ,可 信 计 算 基 中 把 敏感 标记 作为 强制 访问 控制 决策 的 依据 ) ,这些 标记 是 等 级 
分 类 和 非 等 级 类 别 的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 基 
支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 控制 的 所 有 主体 对 客 
体 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 
主体 安全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 读 客体 ; 仅 
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当主 体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 
级 类 别 包含 了 客体 安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 

敏感 标记 是 实施 强制 访问 的 基础 ,TCB 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 : 进 
程 . 文 件 . 段 .设备 ) 相 关 的 敏感 标记 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 TCB 
向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 TCB 审计 。 

从 用 户 角度 看 ,此 级 也 包括 身份 鉴别 和 安全 审计 两 大 功能 。TCB 除了 具有 第 二 级 的 功 
能 外 ,还 有 以 下 功能 : 

(1) 确定 用 户 的 访问 权限 和 授权 数据 ; 

(2) 接受 数据 的 安全 级 别 ,维护 与 每 个 主体 及 其 控制 下 的 存储 对 象 相关 的 敏感 标记 ; 

(3) 维护 标记 的 完整 性 ; 

(4) 维护 并 审计 标记 信息 的 输出 ,并 与 相关 联 的 信息 进行 匹配 ; 

(5) 确保 以 该 用 户 的 名 义 而 创建 的 那些 在 TCB 外 部 的 主体 和 授权 , 受 其 访问 权 和 授权 
的 控制 。 

对 于 数据 完整 性 ,TCB 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修 改 或 破坏 敏感 
信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 


1.4.4 第 四 级 结构 化 保护 级 


结构 化 保护 级 的 计算 机 信息 系统 TCB 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 
上 , 它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 
隐蔽 通道 (covert channel, 允许 进 程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通信 信道 )。 本 
级 的 计算 机 信息 系统 TCB 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 。 计 算 机 信息 系 
统 TCB 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 。 此 
外 ,本 级 还 加 强 了 鉴别 机 制 ; 支持 系统 管理 员 和 操作 员 的 职能 ; 提供 可 信 设 施 管理 ; 增强 了 
配置 管理 控制 。 因 此 ,系统 具有 相当 的 抗 渗透 能 力 。 

本 级 的 主要 特征 如 下 : 

(1) TCB 基于 一 个 明确 定义 的 形式 化 安全 保护 策略 。 

(2) 将 第 三 级 实施 的 (自主 和 强制 ) 访 问 控制 扩展 到 所 有 主体 和 客体 。 在 自主 访问 控制 
方面 ,TCB 应 维护 由 TCB 外 部 主体 直接 或 间接 访问 的 所 有 资源 的 敏感 标记 ; 在 强制 访问 控 
制 方面 ,TCB 应 对 所 有 可 被 其 外 部 主体 直接 或 间接 访问 的 资源 实施 强制 访问 控制 ,应 为 这 
些 主体 和 客体 指定 敏感 标记 。 

(3) 针对 隐藏 信道 ,将 TCB 构造 成 为 关键 保护 元 素 和 非 关 键 保护 元 素 。 

(4) TCB 具有 合理 定义 的 接口 ,使 其 能 够 经 受 严格 的 测试 和 复查 。 

(5) 通过 提供 可 信和 路 径 来 增强 鉴别 机 制 。 

(6) 支持 系统 管理 员 和 操作 员 的 可 确认 性 ,提供 可 信 的 实施 管理 方法 ,增强 严格 的 配置 
管理 控制 。 

在 审计 方面 , 当 发 生 安全 事件 时 ,TCB 还 能 够 检测 事件 的 发 生 , 记 录 审 计 条 目 , 通 知 系 
统管 理 员 ,标识 并 审计 可 能 利用 隐蔽 信道 的 事件 。 

在 隐蔽 信道 分 析 方面 ,系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 估 
算 确定 每 一 个 被 标识 信道 的 最 大 带宽 。 
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1.4.5 第 五 级 访问 验证 保护 级 


访问 验证 保护 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 本 身 
是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 监控 器 需求 ,计算 机 信息 系统 可 
信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 必要 的 代码 ; 在 设计 和 实现 时 ,从 
系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安全 管理 员 职 能 ; 扩充 审计 机 制 , 当 发 生 
与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 具 有 很 高 的 抗 渗透 能 力 。 

本 级 与 第 四 级 相 比 ,主要 区 别 有 以 下 四 个 方面 。 

(1) 在 TCB 的 构造 方面 ,具有 访问 监控 器 。 所 谓 访问 监控 器 (reference monitor) ,就 是 
监控 主体 与 客体 之 间 授 权 访 问 关系 的 部 件 , 仲 裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 必须 
是 抗 算 改 的 ,并 且 是 可 分 析 、 可 测试 的 。 

(2) 在 自主 访问 控制 方面 ,因为 有 访问 控制 器 ,所 以 访问 控制 能 够 为 每 个 客体 指定 用 户 
和 用 户 组 ,并 规定 他 们 对 客体 的 访问 模式 。 

(3) 在 审计 方面 ,在 访问 监控 器 的 支持 下 ,TCB 扩展 了 审计 能 力 。 本 级 的 审计 机 制 能 
够 监控 可 审计 安全 事件 的 发 生 和 积累 , 当 积累 超过 规定 的 门限 值 时 ,能 立即 向 系统 管理 员 发 
出 报警 ; 并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 ,能 以 最 小 的 代价 终止 它们 。 

在 系统 的 可 信 恢 复方 面 ,TCB 提供 了 一 组 过 程 和 相应 的 机 制 , 保 证 系统 失效 或 中 断后 ， 
可 以 在 不 损害 任何 安全 保护 性 能 的 情况 下 进行 恢复 。 


习 题 1 
1. 什么 是 计算 机 系统 安全 ? 
2. 对 于 计算 机 系统 安全 ,有 哪些 典型 的 攻击 ? 简单 列举 几 个 。 
3. 实施 纵深 防御 的 技术 有 哪些 ? 
4. 什么 是 系统 安全 策略 ? 
5. OSI 安全 体系 结构 中 ,包括 哪些 安全 服务 ? 安全 服务 与 安全 机 制 之 间 的 关系 如 何 ? 
6. 结构 化 保护 级 的 主要 特征 有 哪些 ? 
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2.1 认 证 


认证 服务 是 用 来 识别 用 户 身 份 的 服务 。 用 户 身 份 ,特别 是 远程 用 户 很 难 识别 他 们 的 身 
份 ,尤其 是 那些 想 要 进行 破坏 的 用 户 ,他们 可 能 冒充 成 合法 的 用 户 。 认 证 服务 提供 给 系统 一 
种 验证 用 户 身 份 的 能 力 。 认 证 是 一 种 最 重要 的 安全 服务 ,因为 在 某 种 程度 上 所 有 其 他 安全 
服务 都 依赖 于 它 。 


2.1.1 认证 概述 


认证 是 用 于 一 种 特定 的 通信 过 程 ,在 此 过 程 中 需要 提交 实体 的 身份 。 认 证 又 分 为 以 下 
两 种 情况 。 

(1) 实体 认证 。 身 份 是 由 参与 某 次 通信 或 会 话 的 远 端的 一 方 提交 的 。 这 种 认证 只 是 简单 
地 认证 实体 本 身 的 身份 ,不 会 和 实体 想 要 进行 的 任何 活动 联系 起 来 。 显 然 , 它 的 作用 是 有 限 
的 。 因 此 ,在 实际 中 ,实体 认证 通常 会 产生 一 个 明确 的 结果 ,允许 实体 进行 其 他 活动 或 通信 。 

(2) 数据 源 认 证 。 身 份 是 由 声称 它 是 某 个 数据 项 的 发 送 者 的 那个 实体 所 提交 的 。 此 身 
份 连同 数据 项 一 起 发 送 给 接收 者 。 这 种 认证 就 是 认证 某 个 特定 的 数据 项 是 否 来 源 于 某 个 特 
定 的 实体 ,为 了 确定 被 认证 实体 与 一 些 特定 数据 项 有 着 静态 的 不 可 分 割 的 联系 。 

认证 系统 的 设计 目的 是 允许 授权 用 户 进入 ,阻止 未 授权 用 户 进 入 ,这 涉及 三 个 概念 : 鉴 
别 、 认 证 和 授权 。 

(1) 鉴别 : 鉴别 步骤 要 求 用 户 通过 一 个 令 牌 或 者 标识 串 ( 如 E-email 地 址 、 账 户 号 码 ) 来 
确认 自己 的 身份 。 

(2) 认证 : 一 旦 鉴别 标志 被 出 示 , 在 认证 步骤 中 用 户 必 须 提 供 证 明 他 身份 的 证 据 。 

(3) 授权 : 授权 允许 一 个 认证 用 户 在 获得 许可 后 进行 一 系列 操作 。 

人 们 通过 他 们 知道 的 或 能 够 识别 的 事物 、 持 有 的 物件 .自身 的 生物 特征 等 来 进行 自我 认 
证 。 前 两 种 情况 下 ,用 户 和 系统 共享 一 个 秘密 (如 认证 密 钥 ) 。 在 注册 阶段 ,用 户 和 系统 商议 
这 个 秘密 ; 在 认证 阶段 ,系统 确定 认证 的 用 户 是 否 拥 有 事先 商议 的 秘密 。 如 果 用 户 证 明了 
秘密 的 知识 ,那么 系统 确定 了 用 户 的 身份 。 第 三 种 情况 下 ,系统 在 注册 阶段 记录 用 户 身体 或 
行为 特征 的 一 个 数字 描述 ,并 在 认证 阶段 进行 确认 。 

许多 认证 通过 使 用 公 钥 密码 学 来 加 强 ,比如 :用 户 可 能 有 一 张 包含 公 钥 和 相应 的 私 钥 的 
智能 卡 。 用 户 的 公 钥 取代 口令 存储 在 远程 计算 机 系统 的 文件 中 。 为 了 对 用 户 进行 认证 , 远 
程 计算 机 发 送 给 用 户 一 个 随机 数 ; 用 户 用 他 的 私 钥 对 该 随机 数 进行 签名 ,并 发 送 签名 结果 
给 远程 服务 器 ,远程 服务 器 用 文件 中 的 公 钥 验证 签名 。 通 过 这 种 方法 ,远程 系统 不 必 收 到 公 
钥 就 能 够 验证 用 户 拥有 私 钥 。 
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一 种 基于 公 钥 密码 学 的 认证 系统 中 .用户 必须 通过 口令 .生物 特征 .私有 物品 等 向 本 地 
系统 (智能 卡 ) 认 证 他 自己 ,然后 智能 卡 使 用 公 钥 密码 体制 向 远程 系统 认证 它 自 己 。 因 为 远 
程 系统 相信 智能 卡 是 可 靠 的 ,远程 系统 相信 智能 卡 的 主体 已 经 被 认证 。 这 就 是 一 个 传递 信 
任 (transitive trust) 的 例子 。 

图 2-1 描述 了 认证 过 程 中 涉及 的 实体 。 在 该 过 程 的 每 个 阶段 ,攻击 者 都 可 能 访问 认证 
密 钥 。 密 码 技术 能 够 有 效 地 保护 网 络 中 密 钥 的 传递 ,服务 器 端 处 理 密 钥 , 密 钥 存储 在 文件 存 
储 器 中 。 真 正 的 漏洞 是 输入 机 制 和 用 户 。 基 于 知识 的 认证 中 ,用 户 必须 持 有 一 个 密 钥 , 密 钥 
可 以 被 告诉 发现. 窃取 。 用 户 可 能 告诉 其 他 人 他 们 的 密 钥 ,因为 他 们 可 能 被 欺骗 或 被 强制 
这 样 做 ,或 者 因为 他 们 不 理解 共享 密 钥 可 能 产生 的 后 果 。 即 使 用 户 不 在 认证 前 揭示 密 钥 , 密 
钥 仍 可 能 被 发 现 ,比如 用 户 输入 密 钥 的 过 程 被 监视 了 ,或 者 被 攻击 者 根据 输入 机 制 推 导出 
密 钥 。 


网 络 
人) 认证 机 制 | 之 | 服务 器 “上 | 文件 存储 器 


输入 机 制 


安全 和 攻击 


2-1 认证 过 程 中 的 实体 


安全 不 能 通过 纯 技术 的 方法 解决 ,例如 用 户 访问 障碍 。 

身体 的 : 一 些 认证 机 制 依赖 于 身体 的 能 力 来 使 用 鼠标 ,这 严重 影响 了 有 各 种 身体 疾病 
的 用 户 。 

认 知 的 : 这 种 无 能 力 是 指 阅读 障碍 .运动 障碍 .记忆 力 误 退 等 。 阅 读 障 碍 影响 用 户 工作 
与 文本 的 能 力 ,运动 障碍 影响 用 户 按 顺序 记忆 和 执行 一 系列 指令 的 能 力 ,记忆 力 衰 退 的 用 户 
会 发 现 很 难 正确 的 记 起 基于 知识 的 认证 密 钥 。 

知觉 的 : 举 一 个 例子 ,依赖 于 视力 的 认证 机 制 是 一 个 难题 ,不 仅 是 盲人 ,老年 人 也 有 这 
样 的 问题 。 

技术 的 : 举 一 个 例子 .大量 数据 进行 交换 的 认证 机 制 可 能 给 通过 调制 解 调 器 访问 系统 
的 用 户 带 来 不 便 。 与 此 相似 ,那些 要 求 用 户 识 别 图 像 的 认证 机 制 可 能 使 得 通过 移动 设备 访 
问 系统 的 用 户 无 法 访问 。 


2.1.2 生物 特征 识别 


所 谓 生 物 特 征 识别 ,是 指 通过 计算 机 与 各 种 传感器 和 生物 统计 学 原理 等 高 科技 手段 的 
密切 结合 ,利用 人 体 固有 的 生理 特性 和 行为 特征 ,来 进行 个 人 身份 鉴定 的 方法 。 生 理 特征 与 
生 俱 来 ,多 为 先天 性 的 ; 行为 特征 则 是 习惯 使 然 , 多 为 后 天 性 的 。 将 生理 和 行为 特征 统称 为 
生物 特征 。 
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并 非 所 有 的 生物 特征 都 可 用 于 个 人 的 身份 鉴别 。 身 份 鉴别 可 利用 的 生物 特征 必须 满足 
以 下 几 个 条 件 。 

普遍 性 : 即 必 须 每 个 人 都 具备 这 种 特征 。 

唯一 性 : 即 任何 两 个 人 的 特征 是 不 一 样 的 。 

可 测量 性 : 即 特征 可 测量 。 

稳定 性 : 即 特征 在 一 段 时 间 内 不 改变 。 

当然 ,在 应 用 过 程 中 ,还 要 考虑 其 他 实际 因素 ,比如 识别 精度 .识别 速度 ,对 人 体 无 伤害 、 
被 识别 者 的 接受 性 等 。 生 物 特征 识别 可 以 分 为 两 类 。 

1. 生理 特征 识别 

生理 特征 识别 包括 人 脸 识 别 、 虹 膜 识别 、 手 形 识别 指纹 识别 、 掌 纹 识别 等 。 

人 脸 识别 : 人 脸 识 别 技 术 通 过 对 面部 特征 和 它们 之 间 的 关系 (眼睛 、 鼻 子 和 嘴 的 位 置 以 
及 它们 之 间 的 相对 位 置 ) 来 进行 识别 ,用 于 捕捉 面部 图 像 的 两 项 技术 为 标准 视频 和 热 成 像 技 
术 。 标 准 视频 技术 通过 视频 摄像 头 摄取 面部 的 图 像 , 热 成 像 技术 通过 分 析 由 面部 的 毛细 血 
管 的 血液 产生 的 热线 来 产生 面部 图 像 ,与 视频 摄像 头 不 同 , 热 成 像 技术 并 不 需要 有 较 好 的 光 
源 , 即 使 在 黑暗 的 情况 下 也 可 以 使 用 。 人 脸 识 别 技术 优点 是 非 接触 性 的 ,缺点 是 要 比较 高 级 
的 摄像 头 才 可 有 效 高 速 地 捕 提 面部 图 像 。 

指纹 识别 : 指纹 识别 技术 是 通过 取 像 设备 读 取 指 纹 图 像 ,然后 用 计算 机 识别 软件 分 析 
指纹 的 全 局 特征 和 指纹 的 局 部 特征 ,特征 点 如 贱 、 谷 .终点 .分 又 点 和 分 歧 点 等 ,从 指纹 中 抽 
取 特 征 值 , 可 以 非常 可 靠 地 通过 指纹 来 确认 一 个 人 的 身份 。 指 纹 识 别 的 优点 表现 在 研究 历 
史 较 长 ,技术 相对 成 熟 ; 指纹 图 像 提取 设备 小 巧 ; 同类 产品 中 ,指纹 识别 的 成 本 较 低 。 其 缺 
点 表现 在 指纹 识别 是 物理 接触 式 的 ,具有 侵犯 性 ; 指纹 易 磨损 ,手指 太 干 或 太 湿 都 不 易 提 取 
图 像 。 

虹膜 识别 : 虹膜 识别 技术 是 利用 虹膜 终身 不 变性 和 差异 性 的 特点 来 识别 身份 的 ,虹膜 
是 眼睛 构造 的 一 部 分 ,虹膜 中 心 有 一 圆 形 开口 . 称 为 瞳孔 ,犹如 相机 中 可 调节 大 小 的 光圈 ,内 
含 色素 决定 眼睛 的 颜色 。 每 个 虹膜 都 包含 一 个 独一无二 的 基于 水 晶体 、 细 丝 、 斑 点 、 四 点 、 皱 
纹 和 条 纹 等 特征 的 结构 。 虹 膜 在 眼睛 的 内 部 ,用 外 科 手 术 很 难 改变 其 结构 ; 由 于 瞳孔 随 光 
线 的 强 弱 变化 , 想 用 伪造 的 虹膜 代替 活 的 虹膜 是 不 可 能 的 。 除 了 白内障 等 原因 外 ,即使 是 接 
受 了 角膜 移植 手术 ,虹膜 也 不 会 改变 。 虹 膜 识别 技术 与 相应 的 算法 结合 后 ,可 以 到 达 十 分 优 
异 的 准确 度 , 即 使 全 人 类 的 虹膜 信息 都 录入 到 一 个 数据 库 中 ,出 现 认 假 和 拒 假 的 可 能 性 也 相 
当 小 。 和 常用 的 指纹 识别 相 比 ,虹膜 识别 技术 操作 更 简便 ,检验 的 精确 度 也 更 高 。 

手 形 识别 : 手 形 指 的 是 手 的 外 部 轮廓 所 构成 的 几何 图 形 。 手 形 识 别 技 术 中 ,可 利用 的 
手 形 几何 信息 包括 手指 不 同 部 位 的 宽度 .手掌 宽度 和 厚度 .手指 的 长 度 等 。 经 过 生物 学 家 大 
量 实验 证 明 , 人 的 手 形 在 一 段 时 期 具有 稳定 性 , 且 两 个 不 同人 手 形 是 不 同 的 , 即 手 形 作为 人 
的 生物 特征 具有 唯一 性 , 手 形 作为 生物 特征 也 具有 稳定 性 , 且 手 形 也 比较 容易 采集 , 故 可 以 
利用 手 形 对 人 的 身份 进行 识别 和 认证 。 手 形 的 测量 比较 容易 实现 ,对 图 像 获取 设备 的 要 求 
较 低 , 手 形 的 处 理 相 对 也 比较 简单 ,在 所 有 生物 特征 识别 方法 中 手 形 认证 的 速度 是 最 快 的。 
然而 手 形 特 征 并 不 具有 高 度 的 唯一 性 ,不 能 用 于 识别 ,但 是 对 于 一 般 的 认证 应 用 , 它 足 可 以 
满足 要 求 。 

掌 纹 识别 : 掌 纹 具有 稳定 性 和 唯一 性 ,利用 掌 纹 的 线 特征 、 点 特征 、 纹 理 特征 、 几 何 特征 


第 2 章 实现 安全 服务 i 


等 完全 可 以 确定 一 个 人 的 身份 ,因此 掌 纹 识别 是 基于 生物 特征 身份 认证 技术 的 重要 内 容 。 
目前 采用 的 掌 纹 图 像 主 要 分 为 脱 机 掌 纹 和 在 线 掌 纹 两 大 类 。 脱 机 掌 纹 是 指 在 手掌 上 涂 上 油 
墨 ,在 一 张 白 纸 上 按 印 ,然后 通过 扫描 仪 进行 扫描 而 得 到 的 数字 化 的 图 像 。 在 线 掌 纹 则 是 用 
专用 的 掌 纹 采样 设备 直接 获取 数字 化 的 图 像 ,图 像 质量 相对 比较 稳定 。 随 着 网 络 .通信 技术 
的 发 展 , 在 线 身 份 认证 变 得 更 加 重要 。 与 指纹 识别 相 比 , 掌 纹 识别 的 可 接受 程度 较 高 ,主要 
特征 较 明 显 , 而 且 提取 时 不 易 被 噪声 干扰 。 

人 耳 识 别 : 人 耳 具 有 独特 的 生理 特征 和 观测 角度 的 优势 ,使 人 耳 识别 技术 具有 相当 的 
理论 研究 价值 和 实际 应 用 前 景 。 从 生理 解剖 学 上 来 说 ,人 的 外 耳 分 耳 廓 和 外 耳 道 。 人 耳 识 
别 的 对 象 实 际 上 是 外 耳 裸 露 在 外 的 耳 廓 ,也 就 是 人 们 习惯 上 所 说 的 “ 耳 打 ”。 一 套 完整 的 人 
耳 自动 识别 系统 一 般 包 括 以 下 几 个 过 程 : 人 耳 图 像 采 集 、 图 像 的 预 处 理 、 人 耳 图 像 的 边缘 检 
测 与 分 割 ,特征 提取 、 人 耳 图 像 的 识别 。 目 前 的 人 耳 识 别 技术 是 在 特定 的 人 耳 图 像 库 上 实现 
的 ,一般 通过 摄像 机 或 数码 相机 采集 一 定数 量 的 人 耳 图 像 , 建 立 人 耳 图 像 库 ,动态 的 人 耳 图 
像 检测 与 获取 尚未 实现 。 

2. 行为 生物 特征 识别 

行为 生物 特征 识别 包括 步 态 识别 、 击 键 识别 、 签 名 识别 等 。 

步 态 识别 : 步 态 是 指 人 们 行走 时 的 方式 ,这 是 一 种 复杂 的 行为 特征 。 步 态 识 别 主 要 提 
取 的 特征 是 人 体 每 个 关节 的 运动 。 尽 管 步 态 不 是 每 个 人 都 不 相同 的 ,但 是 它 也 提供 了 充足 
的 信息 来 识别 人 的 身份 。 步 态 识 别 的 输入 是 一 段 行走 的 视频 图 像 序列 ,因此 其 数据 采集 与 
脸 相 识别 类 似 , 具 有 非 侵犯 性 和 可 接受 性 。 但 是 ,由 于 序列 图 像 的 数据 量 较 大 ,因此 步 态 识 
别 的 计算 复杂 性 比较 高 ,处 理 起 来 也 比较 困难 。 尽 管 生物 力学 中 对 于 步 态 进 行 了 大 量 的 研 
究 工 作 , 基 于 步 态 的 身份 鉴别 的 研究 工作 却 是 刚刚 开始 。 到 目前 为 止 , 还 没有 商业 化 的 基于 
步 态 的 身份 鉴别 系统 。 

击 键 识 别 : 这 是 基于 人 击 键 时 的 特性 (如 击 键 的 持续 时 间 , 击 不 同 键 之 间 的 时 间 、 出 错 
的 频率 以 及 力度 大 小 等 ) 而 达到 进行 身份 识别 目的 的 一 种 方法 。 

签名 识别 : 读者 应 该 都 很 熟悉 在 银行 的 格式 表单 中 签名 作为 自己 身份 的 标志 。 将 签名 
数字 化 是 这 样 一 个 过 程 ,测量 图 像 本 身 以 及 整个 签名 的 动作 ,包括 每 个 字母 以 及 字母 之 间 的 
不 同 的 速度 .顺序 和 压力 。 签 名 认证 的 困难 在 于 ,数据 的 动态 变化 范围 大 ,但 事实 表明 人 们 
的 签名 在 不 同 的 时 期 和 不 同 的 精神 状态 下 是 不 一 样 的 ,这 就 降低 了 签名 识别 系统 的 可 靠 性 。 
签名 认证 按照 数据 的 获取 方式 可 以 分 为 两 种 ,离线 (off-line) 认 证 和 在 线 Con-line) 认 证 。 离 
线 认证 是 通过 扫描 仪 获得 签名 的 数字 图 像 ; 在 线 认 证 是 利用 数字 写字 板 或 压 敏 笔 来 记录 书 
写 签名 的 过 程 。 离 线 数据 容易 获取 ,但 是 它 没有 利用 笔划 形成 过 程 中 的 动态 特性 ,因此 较 在 
线 签名 容易 被 伪造 。 

生物 统计 学 不 是 绝对 可 靠 的 。 首 先 , 它 们 在 非 控制 环境 中 很 容易 伪造 ,比如 ,人 脸 识别 
系统 可 能 被 照相 机 拍摄 的 图 片 ,或 者 甚至 可 能 是 素描 欺骗 。 在 便利 性 上 也 存在 一 些 问题 , 因 
为 用 户 生物 统计 学 必须 在 注册 和 每 次 认证 时 安全 获取 ,这 就 隐 含 着 一 个 请 求 受 控制 环境 的 
时 间 消 耗 ,以 便 确认 用 户 不 是 因为 其 他 人 的 利益 被 强迫 进行 自我 认证 。 

生物 认证 机 制 在 非 控 制 的 环境 中 必须 谨慎 使 用 ,因为 存在 着 滥用 机 制 的 可 能 ,可 能 是 攻 
击 者 假冒 .也 可 能 是 强迫 合法 用 户 认证 来 获得 访问 系统 的 合法 权限 。 


18 计算 机 系统 安全 教程 


2.1.3 基于 口令 的 认证 


加 密 认 证 依赖 于 对 实体 拥有 的 密 钥 的 认证 。 通 常 在 密 钥 空间 中 随机 选择 密 钥 , 密 钥 的 
长 度 取 决 于 所 用 的 算法 和 所 需 的 安全 等 级 ,可 以 从 100b 左右 到 1000b。 经 验 表明 人 们 很 难 
记忆 随机 形式 的 秘密 ,甚至 是 七 八 个 字符 的 密 钥 。 但 是 用 所 有 大 写 和 小 写字 母 加 上 0 到 9 
的 数字 构成 的 一 个 随机 的 8 字符 的 密 钥 ,其 随机 性 不 超过 48b。 

加 密 密 钥 经 常 存储 在 计算 机 的 安全 存储 器 中 ,或 者 使 用 特殊 的 设备 来 存储 密 钥 ,如 抗 自 
改 加 密 服 务 器 或 智能 卡 。 但 是 ,这 些 方法 要 么 不 太 方 便 要 么 成 本 太 高 ,不 是 所 有 的 设备 都 能 
抵抗 自 改 , 公 钥 需要 的 内 存 也 很 缺乏 。 因 此 ,有 必要 建立 仅 依赖 于 人 能 记忆 的 短 秘密 的 安全 
通信 。 

1. 两 种 形式 

口令 是 目前 应 用 最 广泛 的 认证 方法 , 它 有 以 下 两 种 形式 。 

(1) 文化 的 。 文 化 法 基于 概念 或 词组 的 存储 ,有 时 也 称 为 认 知 或 语义 口令 。 

文化 口令 (cultural passwords) 基 于 推理 过 程 产生 请 求 口 [ 
令 。 与 随机 口令 (任何 单词 或 短语 都 可 以 ) 相 比 ,文化 口令 在 
一 些 方面 更 有 意义 。 文 化 口令 意味 着 用 户 有 一 个 挑战 问题 ， | Smih 
响应 问题 获得 答案 (如 图 2-2 所 示 )。 这 个 理论 中 用 户 几 乎 不 | 你 的 小 学 的 名 字 是 什么 ? 
存在 忘记 口令 的 问题 ,因为 文化 口令 要 求 的 回忆 是 建立 的 事 
实 或 选项 。 | 

(2) 随机 的 。 随 机 法 使 用 一 个 随机 的 符号 或 数字 序列 [你 的 第 -个 宠物 的 名 字 是 什么 ? 
(它们 可 能 是 由 每 个 用 户 随 机 产生 或 选择 的 ) ,如果 是 一 个 单 ver 
词 就 称 为 口令 ,如 果 仅 由 数字 组 成 就 称 为 PIN, 如 果 由 多 个 单 
词组 成 就 称 为 通行 码 (pass phrase) 。 图 2-2 文化 口令 

目前 ,大 部 分 的 认证 机 制 都 使 用 随机 口令 , 且 越 长 越 好 。 但 现实 问题 是 口令 常常 需要 用 
户 记忆 在 脑子 里 ,因为 记录 到 某 个 地 方 既 不 安全 ,使 用 起 来 也 不 方便 。 可 是 越 是 随机 的 口令 
越 不 容易 记 住 ,同样 口令 越 长 ,往往 记忆 起 来 也 越 困 难 , 而 且 如 果 一 个 口令 因为 记忆 的 错误 
所 造成 的 损失 可 能 会 比 口 令 被 窃取 所 带 来 的 损失 更 大 ,这 是 安全 性 和 实用 性 之 间 的 矛盾 ,如 
果 解 决 不 好 这 对 矛盾 ,系统 中 就 难免 有 安全 漏洞 存在 。 

大 家 都 知道 选取 一 个 好 的 口令 非常 重要 ,但 下 面 一 些 不 好 的 做 法 却 普 遍 存 在 。 

@ 使 用 个 人 特征 信息 (或 部 分 信息 ) 作 为 口令 或 部 分 口令 ,如 口令 中 使 用 自己 或 亲属 的 
生日 信息 或 几 个 人 生日 信息 的 结合 ,或 者 使 用 自己 的 居住 信息 ,包括 街道 号 .门牌 号 和 楼 层 
数 等 ; 

@ 多 种 用 途 使 用 同一 个 口令 ,如 不 同 银行 卡 使 用 同一 个 口令 ,不 同 邮件 信箱 使 用 相同 
口令 等 ; 

@ 口令 长 期 不 更 换 。 

如 何 才 能 产生 容易 记忆 但 又 不 容易 被 猜测 到 的 口令 呢 ? 如 果 需 要 一 个 计算 机 账户 所 使 
用 的 口令 , 则 可 以 选择 一 个 容易 记忆 、 自 己 喜 欢 的 “只 言 片 语 ?来 生成 。 下 面 举 几 个 简单 例子 
说 明 ( 见 表 2-1) 。 


你 母亲 的 名 字 是 什么 ? 


Oak Grove Primary 
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表 2-1 口令 的 选择 举例 


喜欢 的 “只 言 片 语 ” 生成 的 口令 喜欢 的 “只言片语 ” 生成 的 口令 
大 家 星期 六 不 上 班 Dj * 76bsb 我 怎么 去 见 我 的 妈 Wzmq95dm 
星星 之 火 可 以 煤 原 *x zhklly 无 论 如 何 就 是 不 行 5lrh94bx 
我 的 心里 七 上 八 下 Wdxl7s8x 哎哟 算 了 吧 算 了 吧 Al328slb 


当然 有 些 “ 只 言 片 语 ” 可 以 生成 多 种 不 同 的 口令 ,只 要 选取 自己 喜欢 的 一 种 就 行 了 。 使 
用 这 种 方法 可 以 生成 容易 记忆 且 不 易 被 猜 到 的 口令 。 

2. 三 个 种 类 

自 20 世纪 90 年 代 初 以 来 ,口令 认证 密 钥 交 换 协 议 的 设计 与 分 析 成 为 研究 热点 ,主要 分 
为 以 下 三 类 。 

1) 两 方 口令 认证 密 钥 交换 协议 (2PAKE) 

1992 年 ,Bellovin 和 Merrit 首次 提出 了 一 个 两 方 口令 认证 及 Diffie-Hellman 密 钥 交换 
协议 , 即 加 密 密 钥 交换 协议 (EKE)。 两 方 口令 认证 密 钥 交换 协议 (2PAKE) 通 常 使 用 “用 户 - 
服务 器 ”模型 ,为 了 相互 认证 并 建立 会 话 密 钥 ， 人 -个 口令 ,对 于 有 
n 个 用 户 的 系统 来 说 , 若 每 两 个 用 户 都 共享 一 个 口令 , 则 每 个 用 户 需 要 记 住 个 口令 ,整个 
系统 需要 存储 Ol ) 个 口令 A Tes 
许多 Client-to-Client 口令 认证 密 钥 交换 协议 (C2C-PAKE)。 

2) Client-to-Client 口令 认证 密 钥 交换 协议 

包括 基于 口令 认证 的 三 方 密 钥 交 换 协 议 (3PAKE) 和 跨 域 口令 认证 密 钥 交换 协议 (C2C- 
PAKE) 。 

基于 口令 认证 的 三 方 密 钥 交换 协议 (3PAKE) 中 的 用 户 只 需要 和 一 个 可 信服 务 器 S 共 
享 一 个 简单 的 口令 (或 者 与 口令 相对 应 的 验证 信息 ) ,通过 S 的 协助 ,通信 双方 完成 相互 认 
证 和 会 话 密 钥 的 交换 。 

跨 域 口令 认证 密 钥 交换 协议 (cross-realm C2C-PAKE) 可 实现 位 于 不 同 区 域 上 且 持 有 不 
同 口令 的 两 个 用 户 , 通 过 各 自 域 服务 器 协助 协商 出 共享 的 会 话 密 钥 ,建立 起 一 个 安全 的 通讯 
信道 的 过 程 。2002 年 ,Byun 等 首次 提出 了 一 种 跨 域 环境 中 基于 口令 认证 的 密 钥 交换 协议 。 

3) 群 组 口令 认证 密 钥 交换 协议 

群 组 口令 认证 密 钥 交换 协议 (GPAKE) 可 实现 在 开放 性 网 络 中 , 群 组 成 员 通过 认证 的 
群 组 密 钥 交换 协议 产生 共享 密 钥 ,并 利用 该 密 钥 来 保证 组 播 消 息 的 保密 性 和 完整 性 。 因 此 
群 组 密 钥 交换 协议 对 于 安全 的 视频 或 电话 会 议 等 应 用 环境 非常 重要 。 

安全 的 口令 认证 密 钥 交换 协议 应 该 具备 以 下 安全 属性 。 

(1) 双向 认证 (mutual authentication) 。 双 向 认证 要 求 通信 双方 能 够 验证 对 方 的 身份 。 

(2) 会 话 密 钥 安全 (session key security) 。 会 话 密 钥 安 全 是 指 攻 击 者 在 不 知道 口令 的 
情况 下 ,不 能 恢复 出 利用 该 口令 建立 的 会 话 密 钥 。 

(3) 抵抗 离线 字典 攻击 (off-line guessing attack resilience) 。 为 了 便于 记忆 ,会 经 常 使 
用 低 炉 的 口令 ,但 这 种 口令 本 质 上 容易 遭受 字典 攻击 。 把 所 有 用 户 可 能 使 用 的 口令 组 成 的 
集合 叫做 口令 字典 。 抵 御 离 线 字 典 攻击 是 指 不 存在 如 下 成 功 的 攻击 者 : 攻击 者 拦截 并 存储 
协议 执行 时 的 消息 ,在 离线 的 状态 下 ,攻击 者 可 以 选择 字典 中 的 一 个 候选 口令 ,并 利用 拦截 
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的 消息 验证 该 候选 的 口令 是 否 为 正确 的 口令 ,如果 不 正确 则 选择 另 一 个 候选 口令 直到 猜测 
正确 为 止 。 

(4) 抵抗 在 线 字 典 攻 击 (on-line guessing attack resilience) 。 主 要 有 两 种 方式 : 一 种 是 
抵御 不 可 检测 的 在 线 字 典 攻击 ,是 指 不 存在 如 下 成 功 的 攻击 者 一 一 试图 在 在 线 的 状态 下 验 
证 猜测 的 口令 ,而 失败 的 猜测 不 被 服务 器 检测 到 ; 另外 一 种 是 抵抗 计算 机 程序 的 在 线 字 典 
攻击 ,是 指 不 存在 如 下 成 功 的 攻击 一 一 在 在 线 的 状态 下 ,程序 自动 加 载 ,验证 猜测 的 口令 ,而 
失败 的 猜测 不 被 服务 器 检测 到 。 

(5) 完善 前 向 安全 (perfect forward secrecy)。 长 期 密 钥 的 泄露 不 会 威胁 以 前 会 话 密 钥 
的 安全 性 , 即 以 前 的 通信 不 会 因 长 期 密 钥 的 泄露 而 受到 威胁 。 

(6) 已 知 会 话 密 钥 安全 (known session key security) 。 通 信 双 方 每 执行 一 次 密 钥 协商 
协议 ,会 生成 一 个 唯一 的 会 话 密 钥 ,如果 会 话 密 钥 的 泄露 不 会 导致 被 动 攻击 者 得 到 其 他 的 会 
话 密 钥 或 主动 攻击 者 假冒 协议 参与 者 , 则 称 协 议 具有 会 话 密 钥 的 安全 性 。 

(7) 抵抗 服务 器 遭 侵 害 的 假冒 攻击 (verifier-compromise impersonation attack resilience) 。 
抵御 服务 器 遭 侵 害 的 假冒 攻击 是 指 不 存在 如 下 成 功 的 攻击 者 : 有 两 种 攻击 形式 ,一 是 假设 
攻击 者 盗 取 了 服务 器 中 A 的 验证 信息 ,在 不 实施 字典 攻击 的 情况 下 ,攻击 者 能 够 假冒 其 他 
用 户 ( 发 起 者 ) 与 A( 响 应 者 ) 通 信 ; 二 是 假设 攻击 者 盗 取 了 服务 器 中 A 的 验证 信息 ,在 不 实 
施 字典 攻击 的 情况 下 ,攻击 者 能 够 假冒 A( 发 起 者 ) 与 其 他 用 户 ( 响 应 者 ) 进 行 通信 。 

(8) 抵抗 口令 泄露 假冒 攻击 (password-compromise impersonation attack resilience) 。 
抵抗 口令 泄露 假冒 攻击 是 指 不 存在 如 下 成 功 的 攻击 者 : 如 果 用 户 A 的 口令 pwa 泄露 ,那么 
窃取 prea 的 攻击 者 自然 能 够 假冒 A 与 其 他 用 户 通 信 , 从 而 假冒 其 他 用 户 与 A 建立 共享 会 
话 密 钥 。 

下 面 将 分 析 应 用 Diffie-Hellman 密 钥 交换 的 加 密 密 钥 交换 协议 (EKE)( 见 表 2-2)。 虽 
然 原 始 的 协议 有 许多 潜在 的 缺陷 并 缺乏 安全 证 明 , 但 有 助 于 理解 基于 口令 的 认证 。 


表 2-2 基于 口令 协议 用 到 的 表示 符号 


x A 拥有 的 短 密 钥 ,如 口令 

p 大 素数 (至 少 为 1024b) 

gq 素数 (160b), 且 glp 一 1 

G Zr 的 子 群 ,G 常 是 阶 为 g 的 子 群 .有 时 等 于 ZZ; 

g G 生成 元 

rasrB A 和 B 分 别 选择 的 随机 整数 .与 G 的 阶 的 长 度 相同 
ta rtp 短暂 公 钥 : ta 一 g"4 ,ts 一 g"8 ,在 2Z。 内 计算 


ZA "TB A 和 B 的 长 期 私 钥 

VA*YB A 和 B 的 公 钥 : ya 一 g”3 ,ys 二 g”8 ,这 些 公 钥 有 某 些 标准 方法 进行 书面 证 明 , 这 里 不 考虑 
Zap 共享 秘密 

Kas 生成 的 会 话 密 钥 


EKE 的 大 致 思想 是 传输 用 口令 加 密 的 临时 公 钥 作为 共享 密 钥 。 只 有 知道 口令 的 实体 
才能 完成 协议 。 这 个 思想 适用 于 不 同 公 钥 策略 的 临时 密 钥 。 这 里 只 考虑 Diffie-Hellman 密 
钥 交换 ,两 个 实体 都 选择 临时 公 钥 ,口令 用 于 加 密 临 时 公 钥 ,如 图 2-3 所 示 。 
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2-3 基于 Diffie-Hellman 的 EKE 协议 


在 基本 Diffie-Hellman 密 钥 协商 中 ,虽然 由 共享 秘密 Zs 产生 会 话 密 钥 Kas 的 密 钥 派 
生 函 数 没 有 具体 说 明 , 仍 有 Zi 一 gx 。 图 2-3 中 双方 都 需要 进行 两 次 寡 运 算 , 这 和 普通 
Diffie-Hellman 是 一 样 的 。 

Bellovin 和 Merritt 引入 对 EKE 的 分 割 攻击 (partition attack) 的 思想 ,攻击 者 猜测 口令 
试图 解密 {1t4): 和 {ts)}: ,并 检验 明文 结果 是 否 是 一 个 有 效 的 Diffie-Hellman 临时 值 。 如 果 
不 是 , 则 猜测 的 口令 是 错误 的 ,并 丢弃 之 。 经 过 多 次 的 协议 运行 后 ,就 可 以 分 割 出 有 效 的 口 
令 集 和 无 效 的 口令 集 。 


2.1.4 基于 验证 码 的 认证 


当前 ,有 许多 专门 的 破解 工具 可 以 在 线 暴 力 破 解 口令 (如 BBS 口令 、 ee 
给 口令 认证 造成 了 极 大 的 安全 威胁 。 道 向 图 灵 测 试 (Reverse Turing Test, RTT) 是 一 个 区 
分 人 与 计算 机 程序 的 方法 ,因为 RTT 很 容易 被 人 识别 ,但 是 对 于 自动 程 序 来 说 很 礁 识别 ， 
它 很 有 希望 击败 有 自动 程序 加 载 的 在 线 字典 攻击 。 一 个 典型 的 RTT 就 是 反常 图 形 化 的 验 
证 码 , 如 图 2-4 所 示 。 因 此 ,目前 在 使 用 用 户 名 和 口令 进行 注册 和 登录 之 前 ,网 络 服务 提供 
者 要 求 用 户 通过 RTT, 即 在 页 面 上 按 要 求 输入 验证 码 后 才能 正常 进入 账号 ,这 样 可 以 有 效 
地 抵御 穷 举 攻击 和 字典 攻击 。 由 于 每 次 页 面 访问 的 验证 码 都 不 相同 ,同时 安全 程度 较 高 的 
验证 码 使 得 程序 化 的 信息 提取 变 得 不 可 能 ,而 必须 由 用 户 进行 识别 输入 。 由 于 人 工 因 素 的 
引入 ,使 得 原本 单位 时 间 内 高 密度 的 攻击 又 减 ,由 基于 计算 机 计算 能 力 的 高 频 攻击 转化 为 基 
于 人 工 输入 的 低频 攻击 ,针对 简单 口令 的 穷 举 攻 击 和 字典 攻击 都 将 会 耗费 大 量 的 时 间 和 人 
力 , 从 而 导致 口令 遍历 猜测 的 攻击 方式 失效 。 


本 
8 is 
Type the two words: 2 
Po meCAPTCHA 
上 go 


图 2-4 反常 图 形 化 的 验证 码 
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其 他 一 些 RTT 是 基于 语音 识别 的 方法 。 它 将 一 些 单词 的 声音 片段 和 一 些 随机 选择 的 
混 扰 杂 音 放 在 一 起 输出 ,使 用 者 需 识别 其 中 声音 的 内 容 。 这 种 系统 是 利用 人 和 计算 机 在 语 
音 识别 方面 的 差异 实现 的 。 对 于 一 些 视觉 存在 问题 的 人 群 来 说 ,以 语音 作为 RTT 系统 是 
十 分 有 用 的 。 

具体 的 说 ,图 形 化 的 验证 码 就 是 这 样 一 类 技术 。 服 务 器 生成 随机 字符 串 RR, 经 变换 成 
9(R) 后 发 送 给 用 户 , 由 于 机 器 不 能 识别 出 变形 图 片 g(R) 中 的 字符 串 R, 只 有 人 才能 够 识 
别 , 这 保证 了 客户 端 参与 者 必须 是 人 ,从 而 避免 了 攻击 者 利用 机 器 进行 自动 的 在 线 字典 攻 
击 。 通 俗 地 说 ,就 是 由 服务 器 随机 产生 文本 序列 ,然后 与 背景 图 片 进行 信息 融合 生成 最 终 的 
验证 码 。 图 形 化 的 验证 码 有 如 下 特点 : 验证 码 是 随机 生成 的 ; 验证 码 只 是 为 防止 程序 猜测 
等 目的 而 生成 的 无 意义 字符 串 , 不 需要 用 户 记忆 :; 验证 码 只 对 当前 服务 有 效 , 并 具备 时 效 
性 ,只 在 一 定时 间 内 有 效 ( 如 一 般 网 页 规定 验证 码 的 有 效 时 间 为 5 分 钟 ) 。 

验证 码 作 为 一 种 安全 技术 ,图 形 化 的 验证 码 的 安全 强度 主要 基于 图 像 识 别 的 难度 ,其 具 
备 一 定 的 信息 隐藏 性 ,使 得 一 般 程序 化 手段 难以 进行 提取 ,因此 ,提高 验证 码 的 安全 性 ,必须 
从 增加 信息 提取 难度 入 手 。 

图 形 化 的 验证 码 从 两 个 方面 增加 了 信息 提取 难度 : 一 方面 ,在 信息 传输 和 页 面 显示 中 
不 存在 直接 可 提取 的 验证 码 文本 ,要 进行 图 像 -文本 的 程序 转换 必须 通过 图 像 识别 ; 另 一 方 
面 ,针对 图 像 识别 技术 ,可 在 信息 融合 过 程 中 添加 干扰 信息 ,同时 进行 图 像 混杂 、 扭 曲 或 变形 
处 理 , 增 加 图 像 识 别 的 难度 ,从 而 提高 图 像 识 别 的 算法 复杂 度 ,降低 识别 正确 率 , 以 达到 用 户 
可 识别 ,而 无 法 进行 程序 化 识别 的 最 终 目标 。 

提高 图 形 化 验证 码 安全 强度 的 方法 主要 有 以 下 三 种 。 

(1) 背景 干扰 : 选择 变化 的 背景 图 片 , 是 降低 图 像 识 别 率 的 基本 方法 。 通 常 有 不 同 的 
背景 色 .背景 点 .背景 图 .渐变 背景 色 .网 格 背景 等 。 

(2) 前 景 变 形 : 通过 对 前 景 图 形 ( 通 常 是 数字 .字符 .汉字 等 ) 进 行 倾 斜 . 膨 化 ` 波 浪 化 、 
风化 .背景 图 形 止 凸 ,球状 扭曲 等 效果 来 形成 。 

(3) 信息 码 变换 : 通过 改变 字符 数字 等 的 字体 .颜色 位置 .大 小 和 增加 多 余 线条 来 干 
扰 图 像 的 识别 。 


2.1.5 基于 图 形 的 认证 


基于 文本 的 口令 认证 以 其 简单 易 行 、 使 用 面 广 的 特点 成 为 现在 使 用 最 为 广泛 的 身份 认 
证 技术 。 在 计算 机 系统 中 ,操作 系统 .网络 ,数据库 均 采用 了 口令 验证 的 形式 。 但 是 这 种 方 
式 存 在 着 较 大 的 安全 隐患 ,主要 是 可 记忆 性 与 抗 破解 能 力 之 间 的 平衡 。 如 果 设 置 易 于 记忆 
的 口令 ,那么 攻击 者 可 以 通过 搜索 口令 字典 数据 库 的 方法 对 其 进行 字典 攻击 ; 如 果 设置 的 
口令 长 度 过 短 , 则 口令 空间 过 于 狭小 ,攻击 者 可 以 采用 暴力 破解 的 方法 在 有 效 的 时 间 内 找到 
口令 。 要 提高 抗 破解 能 力 的 唯一 方法 是 增加 口令 的 长 度 , 并 少 用 人 类 熟悉 的 字符 串 ,但 是 这 
样 可 记忆 性 就 会 减弱 。 其 次 ,文本 口令 的 口令 空间 只 包含 94 个 字符 ,这 直接 限制 了 其 安全 
性 的 上 界 。 

图 形 口 令 作为 文本 口令 的 替代 者 ,很 好 地 解决 了 文本 口令 面临 的 字典 攻击 .口令 难于 记 
忆 ` 口 令 管理 困难 等 问题 。 图 形 口 令 是 通过 让 用 户 在 图 形 用 户 界面 上 显示 的 图 像 中 按照 特 
定 的 顺序 进行 选择 来 工作 的 ,是 利用 人 类 对 图 形 记 忆 要 优 于 对 文本 记忆 的 特点 设计 出 来 的 
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一 种 新 型 口令 。 用 户 不 用 记忆 元 长 的 字符 串 而 是 通过 识别 或 记 住 图 形 来 进行 身份 认证 。 图 
形 口 令 提供 比 文 本 口令 更 强 的 安全 性 。 

图 形 口 令 还 可 以 解决 文本 口令 可 能 经 常 更 换 的 问题 。 生 物 学 家 的 研究 表明 了 这 样 的 一 
个 事实 : 人 类 记忆 图 形 的 能 力 会 比 记忆 文本 的 能 力 强 的 多 。 此 外 图 形 口 令 的 口令 空间 会 比 
文本 口令 的 口令 空间 大 的 多 ,更 容易 让 口令 抵御 诸如 字典 破解 之 类 的 攻击 。 正 是 因为 上 面 
的 这 些 优点 ,人 们 对 图 形 口 令 的 兴趣 才 日 益 高 涨 。 

从 技术 上 ,图 形 口令 可 以 分 为 两 类 : 基于 识别 型 和 基于 回忆 型 。 

(1) 基于 识别 的 系统 。 该 系统 要 求 用 户 在 许多 分 散 注意 力 的 图 像 中 选择 目标 图 像 , 这 
个 方法 基于 纯 视 觉 记忆 ,利用 识别 先前 看 到 的 可 视 客体 的 能 力 。 

一 种 基于 识别 型 的 图 形 口 令 身 份 验证 要 求 用 户 记忆 预先 选 定 的 一 些 特定 图 片 , 在 验证 
阶段 系统 从 图 案 库 中 随机 产生 一 组 图 片 ,让 用 户 从 中 间 选 择 预 先 设 定 的 图 片 ,从 而 实现 身份 
验证 的 过 程 。 

PassfacesTM 是 由 RealUser 公司 开发 的 一 个 身份 认证 系统 ,目前 主要 应 用 于 PDA 上 。 
它 基 于 人 类 识别 人 脸 比 识别 其 他 图 形 都 更 容易 的 理论 ,利用 人 脸 图 片 作为 认证 媒介 。 用 户 
在 设 定 口 令 阶 段 ,从 人 脸 数据 库 挑 选 出 4 幅 图 像 作为 口令 。 验 证 阶段 ,用 户 看 到 一 个 由 九 个 
人 脸 组 成 的 3X3 网 格 ,包括 一 个 口令 图 像 和 8 个 迷惑 图 像 。 认 证 时 ,用 户 在 屏幕 点 击 自己 
事先 指定 的 人 脸 图 片 , 该 过 程 重复 四 次 ,用 户 全 部 选 对 预先 设 定 的 人 脸 图 像 就 可 以 通过 验 
证 。 因 为 人 们 对 人 脸 记 忆 更 容易 ,识别 更 迅速 ,因而 缩短 了 验证 时 间 。PassfacesTM 使 用 方 
便 , 但 是 口令 空间 小 ,安全 性 不 高 。 另 外 ,一 些 学 者 指出 ,这 个 系统 并 不 适用 于 患 有 面孔 不 可 
识别 症 的 人 ,因为 他 们 不 能 识别 不 同 的 人 脸 。 由 于 人 有 人 种 性别、 年 龄 等 的 区 分 ,用 户 选 择 
人 脸 时 有 一 定 倾向 性 ,更 加 降低 了 PassfacesTM 的 安全 性 。 

“ 肩 窒 ”指使 用 直接 的 观察 来 获取 信息 ,就 如 从 某 人 的 肩膀 上 方 来 查看 。 在 拥挤 的 公共 
场所 , 肩 罕 是 窃取 信息 的 一 种 有 效 方法 , 当 别 人 填 表 、 在 ATM 机 输入 PIN 码 或 者 在 公共 付 
费 电 话 使 用 电话 卡 时 ,其 私密 信息 容易 被 他 人 获取 .“ 肩 宕 ”也 可 以 使 用 双眼 望远镜 或 者 其 
他 视觉 增强 设备 来 远 距 离 实现 。 在 使 用 传统 文本 口令 的 情况 下 ,用 户 只 能 依靠 身体 谈 挡 工 
作 区 来 避免 肩 宕 。 在 采用 图 形 口 令 方法 后 ,即使 偷窥 者 看 到 用 户 输 入 过 程 , 但 仍然 无 法 确定 
用 户 设 定 的 图 形 ,并 且 在 每 次 验证 时 展现 的 图 像 阵列 都 不 相同 ,所 以 能 够 有 效 防 止 肩 宕 。 例 
如 一 种 图 形 和 字母 -数字 口令 相 结合 的 模型 可 以 有 效 地 防止 肩 宕 。 该 系统 提供 许多 不 同 的 
小 图 片 ,每 个 图 片 都 有 八 种 微小 变化 (如 图 2-5 所 示 ), 人 类 可 以 识别 ,计算 机 识别 程序 则 难 
以 识别 。 
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2-5 有 微小 变化 的 图 片 


用 户 初次 使 用 这 种 系统 的 时 候 , 首 先 需 要 从 图 片 当 中 选择 四 种 图 形 ,然后 对 这 四 种 图 形 
的 每 种 变化 指定 一 个 代表 的 字符 串 ,不 同 的 用 户 为 相同 的 图 片 指定 的 字符 串 可 以 是 不 同 的 。 

在 认证 过 程 中 ,系统 会 随机 生成 11X11 个 图 形 ,其 中 有 4 个 是 用 户 事先 指定 的 图 形 ,而 
它们 以 何 种 变化 出 现 是 随机 的 。 用 户 需要 识别 出 这 4 个 图 片 ,然后 在 系统 输入 框 中 依次 输 
入 指定 的 字符 串 。 
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这 种 模型 的 认证 过 程 复 杂 且 耗 时 ,但 是 它 的 安全 性 非常 高 。 首 先 , 它 的 口令 空间 很 大 。 
其 次 , 它 将 图 形 和 文字 口令 结合 起 来 ,选择 相同 图 形 的 用 户 指定 的 文字 口令 不 一 定 相 同 , 因 
此 每 个 用 户 的 口令 相对 是 独立 的 。 最 后 ,由 于 识别 图 形 的 过 程 ,是 在 用 户 的 大 脑 当 中 进行 
的 ,并 不 对 图 形 做 任何 操作 ,即使 对 这 一 过 程 进行 监视 ,也 无 法 知道 用 户 指 定 的 图 形 ; 由 于 
每 次 出 现 的 图 形 都 不 一 定 相 同 , 用 户 输入 的 口令 也 不 一 定 相 同 ,即使 被 如 键盘 扫描 、 偷 录 等 
方法 记录 了 某 一 次 输入 ,也 无 法 分 析出 用 户 的 所 有 口令 。 

另外 一 种 实现 方式 是 由 用 户 预 先 选 择 一 些 图 形 物 体 , 在 验证 的 时 候 系统 显示 出 一 个 由 
许多 图 形 组 成 的 阵列 ,用 户 需要 识别 出 这 些 物体 ,并 且 移动 一 个 固定 的 框架 使 阵列 中 预先 定 
义 的 物体 全 部 落 在 框架 中 ,通过 多 次 重复 此 过 程 来 防止 随机 选中 的 可 能 。 这 种 方法 可 以 有 
效 地 防止 “ 肩 宕 ”。 

例如 (如 图 2-6(Ca) 所 示 ) 由 用 户 目测 出 指定 图 形 构成 的 三 角形 ,在 该 虚构 三 角形 当中 ,用 
鼠标 单 击 以 通过 认证 。 另 外 两 个 类 似 的 例子 如 下 。 一 个 是 通过 旋转 外 框 使 指定 图 形 和 另外 
两 个 内 框 当 中 存在 的 指定 图 形成 直线 进行 认证 (如 图 2-6(b) 所 示 ) , 另 一 个 则 是 由 用 户 单 击 
四 个 指定 图 形 构成 的 两 条 虚拟 直线 的 交叉 点 以 通过 身份 认证 (如 图 2-6(Cc) 所 示 ) 。 
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图 2-6 防止 “ 肩 窥 ”的 图 形 口 令 


(2) 基于 回忆 的 系统 。 该 系统 要 求 用 户 在 网 格 中 画 出 先前 画 的 客体 ,或 者 在 单个 图 像 
中 识别 目标 客体 。 这 个 方法 基于 视 空 间 记忆 的 视觉 和 空间 两 个 方面 ,以 及 精确 的 动作 。 

一 种 基于 回忆 型 的 图 形 口 令 身份 验证 则 是 要 求 用 户 重 复 以 前 设 定 的 一 个 过 程 。DAS 
(Draw A Secret) 是 目前 较 广 泛 应 用 于 PDA 上 的 一 种 身份 认证 的 系统 。 用 户 初次 使 用 系统 
时 ,要 求 用 户 在 5X5 的 2D 栅 格 上 夯 出 口令 ,系统 按照 一 套 本 身 能 够 识别 的 格式 记录 口令 。 
在 验证 阶段 ,系统 显示 同样 的 栅 格 要 求 用 户 重复 原来 的 设 定 过 程 . 如 果 用 户 画 出 的 图 形 按照 
以 前 设 定 的 顺序 经 过 相同 的 方 格 则 通过 验证 。 

人 机 互动 系统 指 用 户 通过 在 虚拟 环境 中 重复 某 一 过 程 以 通过 认证 的 系统 。 例 如 
Passlogix 系统 提供 一 些 2D 场景 ,如 厨房 等 。 用 户 与 场景 进行 互动 ,如 者 饭 , 喝 酒 等 。 该 认 
证 过 程 完 全 看 用 户 的 选择 ,弹性 非常 大 。 比 如 用 户 首先 按照 顺序 选择 了 一 个 闸 钟 ,手表 、 钱 
包 ,注意 一 定 要 点 中 要 选 的 物品 ,在 下 次 认证 的 时 候 如 果 按 照 顺序 同样 选择 了 那个 闹钟 . 手 
表 、 钱 包 ,就 可 以 通过 认证 。 

随 着 虚拟 现实 技术 的 发 展 , 目 前 已 经 出 现 了 一 些 概念 性 的 3D 人 机 互动 系统 。 它 们 的 
系统 界面 很 真实 ,用 户 可 以 进行 虚拟 漫游 。 系 统 识别 用 户 操作 的 物体 坐标 、 行 为 等 ,确定 是 
否认 证 成 功 。 这 样 的 系统 提供 互动 操作 更 多 ,并 且 可 以 结合 现实 中 的 物品 ,如 借助 读 卡 器 在 
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系统 当中 要 求 用 户 以 磁卡 进行 操作 或 借助 手写 板 要 求 用 户 在 系统 中 进行 手写 识别 等 ,从 而 
大 大 提高 了 系统 的 安全 性 。 只 是 就 目前 来 看 ,这 样 的 系统 对 硬件 系统 要 求 比较 高 ,目前 还 处 
在 实验 阶段 ,主要 应 用 方向 是 对 安全 性 需求 非常 高 的 系统 。 这 种 系统 要 真正 广泛 应 用 ,还 需 
要 假 以 时 日 。 
图 形 口 令 与 传统 文本 口令 相 比 较 在 安全 性 上 具有 很 大 优势 。 可 以 通过 增 大 图 案 库 的 容 
量 来 扩大 口令 空间 ,提高 系统 的 安全 性 的 同时 也 不 会 降低 可 记忆 性 。 对 于 这 种 新 型 的 口令 ， 
很 难 采 用 现 有 的 攻击 方法 来 攻击 。 由 于 图 片 库 大 ,使 用 暴力 破解 是 不 可 行 的 ,而 传统 的 字符 
只 有 94 个 (包括 空格 ) ,其 口令 空间 受到 限制 。 从 攻击 者 的 角度 看 ,攻击 者 必须 了 解 并 精确 
复制 系统 图 库 ,难度 加 大 。 图 形 口令 采用 鼠标 输入 , 比 传统 口令 的 键盘 输入 更 加 难以 猜测 。 
攻击 者 使 用 间谍 软件 来 跟踪 键盘 输入 容易 ,但 是 跟踪 鼠标 输入 困难 ,并 且 由 于 用 户 输入 图 形 
操作 和 用 户 当前 所 使 用 的 图 形 窗口 位 置 、 大 小 以 及 时 间 信 息 都 有 关 , 盗 取 口 令 更 加 困难 。 从 
保管 口令 的 角度 看 ,图形 中 包含 的 信息 庞大 且 不 容易 用 语言 描述 ,不 容易 泄露 出 去 。 


2.1.6 基于 令 牌 的 认证 


认证 可 以 基于 客户 持 有 的 某 物 ,这 样 的 一 个 客体 一 般 称 为 令 牌 。 

2008 年 初 ,中 国 银 行 (http: //www. boc. cn) 开 发 了 全 国 统一 的 新 版 网 上 银行 系统 
(https: //ebs. boc. cn/BocnetClient/LoginFrame. do? _locale 王 zh_CN)。 在 安全 保障 上 ， 
新 版 网 银 首 次 大 规模 应 用 了 国际 流行 的 安全 认证 工具 动态 口令 牌 (E-TOKEN) ,客户 
在 登录 以 及 重要 交易 操作 中 均 需 输入 动态 口令 进行 验证 。 

该 动态 口令 牌 是 一 种 内 置 电源 、 密 码 生 成 芯片 和 显示 屏 、 根 据 专门 的 算法 每 隔 一 定时 间 
(如 60 秒 ) 自 动 更 新 动态 口令 的 专用 硬件 ,如 图 2-7 所 示 。 基 于 该 
动态 密码 技术 的 系统 又 称 一 次 一 密 (OTP) 系 统 。 该 装置 拥有 内 
置 芯片 和 一 个 可 以 显示 多 达 6 位 数字 的 LCD 窗口 ,但 其 体积 很 
小 ,可 以 系 在 钥匙 环 上 。 在 柜台 发 售 这 种 装置 时 ,与 网 银 用 户 绑 
定 建立 一 对 一 对 应 关系 ,使 用 唯一 的 128 位 种 子 将 其 初始 化 ; 其 。 图 37 中 国 银行 动 
内 部 芯片 每 分 钟 都 会 使 用 一 种 算法 ,组 合 该 种 子 与 当前 时 间 , 生 He 
成 一 个 随机 的 数字 。 而 在 网 银 认证 服务 器 则 采取 和 这 个 动态 密码 器 同一 种 算法 产生 该 随机 
数字 ,保证 动态 密码 器 和 网 银 服务 器 的 单一 认证 。 

另 一 个 例子 是 串 行 总 线 USB(Universal Serial We 发 世 片 
和 一 个 智能 卡 读 卡 器 。 这 些 设 备 一 般 包 含 一 个 私 钥 ,一 个 公 钥 和 一 个 认证 机 关 颁 发 的 证 书 。 
远程 系统 发 一 个 挑战 给 令 牌 来 验证 用 户 确实 拥有 相应 然后 ,系统 询问 数据 库 验 证 
证 书 上 的 名 字 是 否 与 授权 访问 的 身份 一 致 。 

令 牌 既 可 以 由 硬件 设备 也 可 以 由 软件 设备 提供 。 硬 件 令 牌 有 一 个 终生 电池 ,并 将 安全 
码 显 示 于 LCD 显示 屏 上 。 软 件 令 牌 运行 于 用 户 的 私人 机 器 上 .使 用 用 户 存 储 于 台式 机 上 的 
而 非 硬 件 令 牌 上 的 密 钥 。 

尽管 这 样 的 硬件 设备 比 普通 口令 更 能 提供 安全 利益 ,但 是 它们 也 有 一 些 缺 陷 。 设 备 有 
相关 的 花费 ,这 使 得 它们 不 像 其 他 机 制 那样 可 行 。 用 户 还 必须 携带 硬件 令 牌 。 如 果 用 户 有 
许多 应 用 要 求 使 用 硬件 令 牌 ,那么 携带 所 有 这 些 令 牌 就 很 繁重 了 。 此 外 ,用 户 需 要 某 种 方法 
来 记 住 用 于 不 同系 统 的 令 牌 。 软 件 令 牌 通过 存储 密 钥 在 自己 的 计算 机 上 减轻 了 这 些 问 题 ， 
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但 是 访问 特殊 系统 时 ,这 会 将 用 户 与 机 器 绑 定 起 来 : 软件 令 牌 没有 硬件 令 牌 安全 ,因为 用 户 
的 计算 机 可 能 遭 到 攻击 。 

最 后 ,一 些 基于 令 牌 的 系统 可 能 要 求 用 户 记 住 PIN ,这 将 所 有 的 问题 都 与 无 线索 的 回忆 
联系 起 来 了 。 


2.1.7 双 因 子 认 证 


登录 网 络 的 用 户 需 要 通过 用 户 名 和 密码 来 进行 身份 验证 , 像 电子 信箱 、 网 上 银行 等 大 多 
是 静态 密码 。 但 静态 密码 有 很 大 的 安全 隐患 ,如 盗号 木马 可 以 在 用 户 登 录 时 获取 密码 ,利用 
黑客 工具 破解 静态 密码 也 较为 简单 。 最 常用 的 解决 策略 是 双 因 子 认证 ,因为 它 将 两 个 系统 
联系 起 来 了 ,允许 每 个 系统 弥补 其 他 系统 的 不 足 。 

双 因 子 认 证 是 密码 学 的 一 个 概念 ,是 在 静态 密码 的 基础 上 ,使 用 了 认证 增强 机 制 。 认 证 
机 制 中 包含 有 两 个 认证 因子 即 被 称 作 双 因子 认证 。 认 证 因子 包含 有 个 人 识别 码 、 相 应 记号 、 
生物 学 特征 等 ,人 们 熟知 的 手写 签名 和 键盘 输入 密码 均 在 其 中 。 现 在 ,一 般 常见 的 双 因子 认 
证 一 般 结合 密码 以 及 用 户 手中 的 口令 卡 、IC 卡 、.USB Key、 动 态 口令 牌 等 进一步 验证 用 户 的 
身份 ,从 而 抵御 非法 访问 者 ,提高 认证 的 可 靠 性 。 比 如 ,基于 令 牌 的 认证 系统 一 般 与 口令 相 
联系 。 这 阻止 了 用 户 因为 令 牌 丢失 (因为 攻击 者 不 知道 口令 ) 或 口令 被 盗 ( 因 为 攻击 者 没有 
令 牌 ) 的 风险 。 

国内 外 的 银行 .民航 等 行业 已 经 逐步 发 展 了 双 因 子 认 证 技术 。 经 常 网 上 购物 的 用 户 所 
熟悉 的 口令 卡 与 密码 结合 的 银行 认证 方式 就 是 一 个 很 好 的 例子 : 在 网 上 划 款 时 ,用 户 不 仅 
需要 输入 设置 的 密码 ,还 要 根据 网 页 的 提示 ,从 口令 卡 中 找到 正确 的 密 钥 并 输入 (每 次 密 钥 
都 不 相同 ,属性 等 级 较 高 导致 安全 性 提高 ), 两 种 认证 都 通过 才能 操作 自己 的 账户 。 图 2-8 
给 出 的 是 工商 银行 电子 银行 口令 卡 。 


2-8 工商 银行 电子 银行 口令 卡 


对 一 些 攻击 而 言 , 双 因子 认证 几乎 没有 增加 安全 性 。 比 如 ,ATM 机 器 使 用 双 因 子 认 
证 : 要 求 银行 存款 人 拥有 ATM 卡 ,并 知道 取款 的 口令 。 但 是 ,这些 双 因子 没有 提供 给 存款 
人 足够 的 安全 ,存款 人 可 能 被 绑架 ,被 强迫 拿 出 ATM 卡 并 泄漏 口令 。 

基于 硬件 信息 的 认证 方式 是 最 近 发 展 起 来 的 , 它 是 通过 计算 机 本 身 的 唯一 硬件 特征 来 
标识 使 用 者 的 身份 ,结合 PIN 码 的 使 用 ,可 以 实现 一 种 高 强度 的 双 因 子 认证 。 这 种 认证 依 
然 是 建立 在 公 钥 密码 体制 之 上 的 。 它 的 基本 假定 就 是 对 于 固定 的 用 户 , 其 使 用 的 计算 机 也 
是 相对 固定 的 (在 公用 的 计算 机 上 是 不 应 该 执行 任何 涉及 个 人 机 密 的 操作 的 ,否则 安全 得 不 
到 任何 保障 ) ,那么 ,通过 对 这 台 计 算 机 的 识别 :加 上 对 当时 使 用 计算 机 的 用 户 识别 ,就 可 以 
实现 对 用 户 的 远程 认证 。 其 难点 和 重点 在 于 识别 计算 机 的 唯一 硬件 特征 ,比如 网 卡 都 有 一 
个 全 球 唯一 的 MAC 地 址 ,网 卡 生 产 商 都 遵循 统一 的 规定 ,按照 统一 的 分 配 来 给 自己 生产 的 
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网 卡 指定 MAC 地 址 。 同 样 地 ,对 于 CPU、 硬 盘 、 主 板 等 其 他 计算 机 部 件 , 都 存在 着 相应 的 
协议 和 规范 。 而 这 些 参 数 的 联合 ,足够 构成 一 个 全 球 唯一 的 硬件 标识 号 码 。 其 工作 原理 是 : 
首先 对 合法 用 户 的 计算 机 进行 硬件 特征 采集 ,通过 对 于 硬件 标识 号 码 的 实时 获取 ,可 以 实时 
地 认证 一 台 具 有 唯一 特征 值 的 计算 机 是 否 为 已 经 注册 的 合法 使 用 者 。 而 认证 的 另外 一 个 过 
程 发 生 在 认证 开始 之 前 ,用 户 要 启动 认证 过 程 ,首先 要 输入 自己 的 PIN 码 。 这 样 ,通过 对 用 
户口 令 和 计算 机 硬件 特征 值 的 联合 识别 ,可 以 以 相当 高 的 安全 性 来 确认 用 户 的 身份 ; 而 且 
由 于 没有 作废 列表 查询 更 新 等 问题 ,认证 是 相当 快速 的 。 这 样 的 认证 系统 与 现 有 的 业务 和 
网 络 系统 的 整合 也 相对 简单 , 它 本 身 是 相对 独立 的 系统 ,其 实现 也 并 不 复杂 ,非常 容易 整合 
到 现 有 的 网 络 体系 之 中 。 


2.2 访问 控制 


访问 控制 (access control) 是 实现 既定 安全 策略 的 系统 安全 技术 ,目标 是 防止 对 任何 资 
源 ( 如 计算 机 资源 .通信 资源 或 信息 资源 ?进行 非 授权 的 访问 。 访 问 控制 系统 一 般 包括 主 体 
《subject, 发 出 访问 操作 、 存 取 要 求 的 主动 方 .通常 指 用 户 或 用 户 的 某 个 进程 )、 窜 体 (object， 
主体 试图 访问 的 一 些 资源 ) ,安全 访问 策略 (一 套 规则 ,用 以 确定 一 个 主体 是 否 对 客体 拥有 访 
问 能 力 )。 


2.2.1 访问 控制 矩阵 


这 里 定义 主体 为 系统 的 一 个 用 户 ,客体 为 系统 资源 。 两 个 基本 的 概念 是 访问 控制 列表 
(ACLs) 以 及 能 力 表 (C-lists) ,ACLs 和 C-lists 都 来 自 于 Lampson 的 访问 控制 矩阵 , 即 每 个 
主体 占 一 行 , 每 个 客体 占 一 列 。S 行 与 O 列 的 交接 处 表示 主体 S 允许 访问 客体 O。 表 2-3 
表示 的 是 一 个 访问 控制 的 例子 ,这 里 x、r 以 及 w 依次 表示 执行 权 、 读 权 和 写 权 。 

表 2-3 访问 控制 矩阵 


操作 系统 记 账 程序 核算 资料 保险 数据 工资 单数 据 
Bob TX rx 认 
Alice Ix Ix 四 rw rw 
Sam TWX TWX 下 rw rw 
Acct. program Ix Fk rw rw Fr 


注意 , 表 2-3 中 记 账 程序 既 可 以 作为 主体 也 可 作为 客体 。 通 过 这 种 方法 加 强 限制 ,使 得 
核算 资料 仅 能 够 被 记 账 程序 修改 。 这 里 的 目的 是 使 得 破坏 核算 资料 更 加 困难 。 然 而 ,这 样 
并 不 能 防止 所 有 可 能 的 攻击 ,因为 系统 管理 员 Sam 能 够 将 记 账 程序 替换 为 一 个 坏 版 本 而 绕 
过 这 个 保护 。 但 是 Alice 和 Bob 能 够 访问 核算 资料 发 现 攻击 ,虽然 系统 不 允许 他 们 进行 修 
改 ( 不 管 是 故意 还 是 无 意 ) 。 

1. ACLs 和 C-lists 

因为 所 有 的 主体 和 客体 都 在 访问 控制 矩阵 中 , 它 包括 所 有 基于 认证 决策 的 相关 信息 。 
不 过 ,在 管理 大 的 访问 控制 矩阵 时 存在 一 个 实际 问题 。 实 际 中 一 个 系统 可 能 有 上 百 个 主体 
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和 上 千 个 客体 ,在 某 些 情况 下 ,有 上 万 个 条 目的 访问 控制 矩阵 中 ,当主 体 对 客体 进行 操作 时 
需要 先进 行 询问 ,处 理 这 类 大 型 矩阵 会 给 任何 可 信 系 统 带 来 不 可 接受 的 负担 。 

访问 控制 矩阵 被 分 成 若干 可 管理 的 片段 。 有 两 种 可 行 的 方法 可 以 分 段 访问 控制 矩阵 。 
首先 ,可 以 将 矩阵 存储 为 若干 列 ,每 一 列 存 储 与 之 对 应 的 客体 。 然 后 , 当 一 个 客体 被 访问 时 ， 
它 的 访问 控制 矩阵 的 列 会 被 询问 该 操作 是 否 被 允许 。 这 些 列 就 是 访问 控制 列表 (ACLs) 。 
举 一 个 例子 , 表 2-3 中 保险 数据 的 ACL 可 表示 为 : (Bob, 一 ),(Alice,rw), (Sam,rw)， 
(Acct. program,rw), 

也 可 以 将 访问 控制 矩阵 存储 为 行 的 形式 ,每 行 存储 它 对 应 的 主体 。 然 后 , 当 一 个 主体 要 
实行 一 个 操作 时 ,可 以 询问 它 的 访问 控制 矩阵 ,看 这 个 操作 是 否 人 允许 。 这 个 方法 就 是 能 力 表 
(Crlists) 。 举 一 个 例子 ,Alice 在 表 2-3 中 的 Crlist 为 : (操作 系统 ,rx),( 记 账 程序 ,rx),( 核 
算 资 料 ,r),( 保 险 数据 ,rw),( 工 资 单数 据 ,rw) 。 

2. 特权 和 解决 责任 混淆 

“特权 与 解决 责任 混淆 "是 一 个 传统 的 安全 难题 ,在 这 个 难题 中 ,有 两 个 系统 资源 ,一 个 
编译 器 以 及 一 个 名 为 BILL 的 文件 (包含 重要 的 账单 信息 ) ,还 有 一 个 用 户 Alice。 编 译 器 能 
对 任何 文件 进行 写 操作 ,包括 BILL, 当 Alice 。 表 2 4 特权 和 解决 责任 混淆 的 访问 控制 抵 隆 


请 求 编译 时 ,她 能 够 提供 文件 名 (调试 信息 可 谢 滩 名 i 
以 被 写 人 该 文件 )。 但 是 Alice 不 允许 写 入 文件 二 ~ 
BILL, 因 为 她 可 能 破坏 账单 信息 。 表 2-4 给 出 编译 器 se a 


了 这 种 情况 下 的 访问 控制 矩阵 。 

假设 Alice 请 求 编译 ,她 提供 BILL 作为 调试 文件 名 。Alice 没有 访问 文件 BILL 的 特 
权 , 所 以 这 个 命令 失败 。 尽 管 如 此 ,编译 器 代表 Alice 的 利益 , 它 有 对 BILL 进行 重 写 的 特 
权 。Alice 的 命令 的 结果 可 能 毁坏 BILL 文件 ,如 图 2-9 所 示 。 


BILL 


调试 BILL 文 件 编译 器 


2-9 ”特权 和 解决 责任 混淆 


为 什么 这 个 问题 称 之 为 特权 和 解决 责任 混淆 ? 编译 器 代表 Alice 的 利益 ,所 以 它 是 代 
理 。 编 译 器 是 混淆 的 ,因为 它 应 该 基于 Alice 的 特权 进行 行动 ,但 却 是 基于 它 自 己 的 特权 进 
行 行动 。 

在 ACLs 中 很 难 避 人 免 这 种 混淆 ,但 是 Crlists 却 相对 很 容易 避免 这 个 问题 。 这 是 因为 
Crlists 很 容易 被 指派 ,而 ACLs 不 能 。 在 Crlists 系统 中 , 当 Alice 请 求 编译 时 她 很 容易 就 可 
以 把 她 的 Crlist 给 编译 器 。 在 创建 调试 文件 时 ,编译 器 首先 检查 特权 ,然后 询问 Alice 的 
C-list, 因 为 Alice 没有 对 BILL 进行 重 写 的 权利 ,这 样 图 2-9 的 情形 就 可 以 避免 。 

将 ACLs 与 Crlists 的 相关 优点 比较 是 有 必要 的 。 当 用 户 管理 自己 的 文件 且 想 保护 数 
据 时 ,选择 ACLs 比较 好 。 对 于 ACLs 而 言 ,改变 对 某 个 资源 的 权利 也 是 很 容易 的 。 男 一 方 
面 ,C-lists 很 容易 进行 指派 ,而 且 添 加 、 删 除 用 户 也 很 容易 。 由 于 具有 指派 功能 .使 用 C-lists 
很 容易 避免 特权 和 解决 责任 混淆 。 然 而 ,C-lists 的 执行 更 为 复杂 ,开销 也 更 高 。 因 此 ,在 实 
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际 中 更 多 的 是 使 用 ACLs 而 不 是 C-lists。 
2.2.2 访问 控制 模型 


传统 的 访问 控制 模型 有 自主 访问 控制 (Discretionary Access Control,DAC) .强制 访问 
控制 (Mandatory Access Control, MAC) 和 基于 角色 的 访问 控制 (Role-Based Access 
Control, RBAC)。DAC 根据 主体 的 身份 和 授权 来 决定 访问 模式 ,但 信息 在 移动 过 程 中 主体 
可 能 会 将 访问 权限 传递 给 其 他 人 ,使 访问 权限 关系 发 生 改变 ; MAC 根据 主体 和 客体 的 安全 
级 别 标记 来 决定 访问 模式 ,实现 信息 的 单 向 流动 ,但 它 过 于 强调 保密 性 ,对 系统 的 授权 管理 
不 便 , 不 够 灵活 。 总 之 ,DAC 限制 太 弱 ,MAC 限制 太 强 , 且 二 者 的 工作 量 较 大 ,不 便 管理 。 
RBAC 则 可 以 折 中 以 上 问题 ,角色 控制 相对 独立 ,根据 具体 的 系统 需求 可 以 使 某 些 角色 接近 
DAC, 某 些 角色 接近 MAC。 

1. 自主 访问 控制 

DAC 最 早出 现在 20 世纪 70 年 代 初 期 的 分 时 系统 中 .是 多 用 户 环境 下 的 一 种 访问 控制 
方式 。DAC 自主 访问 控制 根据 访问 请 求 者 的 身份 ,以 及 规定 谁 能 (或 不 能 ) 对 什么 资源 进行 
什么 操作 的 访问 规则 来 进行 访问 控制 。 在 DAC 系统 中 ,访问 权限 的 授予 可 以 进行 传递 , 即 
主体 可 以 自主 地 将 其 拥有 的 对 客体 的 访问 权限 (全 部 或 部 分 ) 授 予 其 他 主体 。 

访问 矩阵 模型 是 一 种 自主 访问 控制 的 典型 模型 和 实现 框架 。 访 问 控制 模型 采用 访问 和 拖 
阵 来 描述 系统 在 某 时 刻 的 授权 状态 ,因此 和 矩阵 实质 是 防护 机 制 的 抽象 表示 。 在 访问 矩阵 模 
型 中 ,访问 主体 能 够 访问 哪些 客体 ,怎样 访问 这 些 客体 都 在 访问 矩阵 中 定义 。 访 问 和 矩阵 同时 
又 是 系统 的 安全 状态 。 访 问 和 矩阵 可 以 用 一 个 三 元 组 (S,O0,P) 表 示 ,其 中 ,S 表示 实施 权限 的 
主体 集 ; O 表示 客体 集 ,主体 在 其 上 实施 权限 ; P 表示 访问 和 矩阵。 访问 矩阵 是 以 主体 为 行 索 
引 、 以 客体 为 列 索 引 的 矩阵 ,矩阵 中 的 每 一 个 元 素 表示 一 组 访问 方式 ,是 若干 访问 方式 的 集 
合 。 和 矩阵 中 第 i 行 第 j 列 的 元 素 P; (PLS;,O;]) 表 示 主 体 S; 可 以 执行 的 对 客体 O; 的 访问 
方式 。 比 如 忆 一 {read,write} 表 示 S; 可 以 对 O; 进行 读 和 写 的 访问 。 

DAC 根据 主体 的 身份 及 允许 访问 的 权限 进行 决策 。 自 主 是 指 具 有 某 种 访问 能 力 的 主 
体能 够 自主 地 将 访问 权 的 某 个 子 集 授予 其 他 主体 。 在 DAC 系统 中 ,由 于 DAC 可 以 将 访问 
权限 进行 传递 ,对 于 被 传递 出 去 的 访问 权限 ,一 般 很 难 进行 控制 ,这 就 造成 资源 管理 分 散 , 授 
权 管 理 困 难 ; 用 户 间 的 关系 不 能 在 系统 中 体现 出 来 ; 信息 容易 泄漏 ,无 法 抵御 特洛伊 木马 
的 攻击 ; 系统 开销 巨大 ,效率 低下 的 缺点 ,不 适合 大 型 网 络 应 用 环境 。 

2. 强制 访问 控制 

强制 访问 控制 (MAC) 根 据 中 央 权 威 所 确定 的 强制 性 规则 来 进行 访问 控制 。 和 DAC 不 
同 ,强制 访问 控制 并 不 具备 访问 主体 自主 性 ,主体 必须 在 由 中 央 权 威 制定 的 策略 规则 约束 下 
对 系统 资源 进行 访问 。 强 制 访问 控制 是 一 种 不 允许 主体 干涉 的 访问 控制 类 型 ,是 基于 安全 
标识 和 信息 分 级 等 信息 敏感 性 的 访问 控制 。 在 MAC 中 ,系统 安全 管理 员 强 制 分 配给 每 个 
主 /客体 一 个 安全 属性 ,强制 访问 控制 根据 安全 属性 来 决定 主体 是 否 能 访问 客体 。 安 全 属性 
具有 强制 性 ,不 能 随意 更 改 。 

MAC 最 早出 现在 美国 军 方 的 安全 体制 中 ,并 且 被 美国 军 方 沿用 至 今 。 在 MAC 方案 
中 ,每 个 目标 由 安全 标签 分 级 ,每 个 对 象 给 予 分 级 列表 的 权限 ,分 级 列表 指定 哪 种 类 型 的 分 
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级 目标 对 象 是 可 以 访问 的 。 典 型 的 军事 系统 采用 的 分 级 标签 是 不 保密 ,限制 ,秘密 ,机 密 , 绝 
密 。 典 型 安全 策略 就 是 read-down( 不 向 上 读 ) 和 write-up( 不 向 下 写 )。 

MAC 通过 基于 格 的 非 循环 单 向 信息 流 策 略 来 防止 信息 的 扩散 ,抵御 特洛伊 木马 对 系 
统 保密 性 的 攻击 。 系 统 中 ,每 个 主体 都 被 授予 一 个 安全 证 书 ,而 每 个 客体 被 指定 为 一 定 的 敏 
感 级 别 。MAC 的 两 个 关键 规则 是 : 不 向 上 读 和 不 向 下 写 , 即 信息 流 只 能 从 低 安 全 级 向 高 安 
全 级 流动 。 任 何 违反 非 循环 信息 流 的 行为 都 是 被 禁止 的 。 

MAC 实现 一 般 采 用 安全 标签 机 制 , 由 于 安全 标签 的 数量 是 非常 有 限 的 ,因此 在 授权 管 
理 上 体现 为 粒度 很 粗 。 但 是 由 于 MAC 本 身 的 严格 性 ,授权 管理 方式 上 显得 刻板 ,不 灵活 。 
如 果 主 体 和 权限 的 数量 庞大 ,授权 管理 的 工作 量 将 会 非常 大 。 

在 MAC 中 ,允许 的 访问 控制 完全 是 根据 主体 和 客体 的 安全 级 别 决定 。 其 中 主体 (用 
户 ,进程 ) 的 安全 级 别 是 由 系统 安全 管理 员 赋 予 用 户 ,而 客体 的 安全 级 别 则 由 系统 根据 创建 
它们 的 用 户 的 安全 级 别 决 定 。 因 此 ,强制 访问 控制 的 管理 策略 是 比较 简单 的 ,只 有 安全 管理 
员 能 够 改变 主体 和 客体 的 安全 级 别 。 

MAC 应 用 领域 也 比较 窄 ,使 用 不 灵活 ,一 般 只 用 于 军 方 等 具有 明显 等 级 观念 的 行业 或 
领域 ; 虽然 MAC 增强 了 机 密 性 ,但 完整 性 实施 不 够 , 它 重点 强调 信息 向 高 安全 级 的 方向 流 
动 , 对 高 安全 级 信息 的 完整 性 保护 强调 不 够 。 

3. 基于 角色 的 访问 控制 

随 着 网 络 技术 的 迅速 发 展 , 对 访问 控制 提出 了 更 高 的 要 求 ,传统 的 访问 控制 技术 
(DAC,MAC) 已 经 很 难 满足 这 些 需求 ,于 是 提出 了 新 型 的 基于 角色 的 访问 控制 (RBAC) 。 
RBAC 有 效 地 克服 了 传统 访问 控制 技术 的 不 足 , 降 低 了 授权 管理 的 复杂 度 ,提高 了 系统 安 
全 性 。 

一 个 角色 定义 为 一 系列 权利 ,任何 属于 该 角色 的 用 户 都 享有 这 些 权 利 。 当 访问 系统 时 ， 
每 个 用 户 必 须 明 确 他 想 扮演 的 角色 ,如 果 他 被 授权 于 那个 角色 ,他 便 可 以 享有 与 该 角色 相应 
的 权利 。 访 问 控制 策略 通过 两 个 步骤 实现 : 首先 管理 员 定义 角色 和 与 之 相应 的 权限 ,然后 
分 派 给 每 个 用 户 一 系列 需要 扮演 的 角色 。 角 色 可 以 按照 等 级 设置 , 按 等 级 活用 访问 控制 权 
利 的 传递 。 

用 户 可 能 同时 被 授予 多 个 角色 ,多 个 用 户 也 可 能 拥有 同一 角色 ,即使 安全 管理 员 可 能 强 
行 限制 数目 。 

注意 用 户 角色 和 用 户 组 是 两 个 不 同 的 概念 。 组 是 用 户 的 集合 ,而 角色 是 权力 的 集合 。 
进一步 说 ,用 户 可 以 自由 决定 激活 还 是 不 激活 角色 .但 是 组 成 员 只 能 是 激活 状态 。 

相对 于 DAC 和 MAC,RBAC 的 主要 优点 是 它 更 适用 于 商业 环境 。 事实 上 ,在 一 个 公 
司 中 ,对 系统 的 访问 权限 起 重要 作用 的 不 是 用 户 的 身份 而 是 他 的 职责 。 而且, 在 角色 体制 的 
访问 控制 中 ,基于 角色 的 策略 试图 根据 组 织 的 结构 构造 权限 。 


2.2.3 访问 控制 的 原则 


授权 过 程 和 访问 控制 通过 授权 数据 结构 的 使 用 ,清楚 地 定义 谁 能 够 使 用 系统 的 什么 资 
源 以 及 系统 的 哪些 资源 不 可 用 。 系 统 资 源 通 过 最 小 特权 和 职责 分 离 来 进行 保护 ,这 最 终 导 
致 责任 的 提高 ,从 而 提高 了 系统 安全 。 
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1. 最 小 特权 

最 小 特权 原则 要 求 主体 按照 自己 的 需要 获得 授权 。 最 小 特权 原则 基于 两 条 原则 .: 最 小 
权限 原则 和 最 小 风险 原则 。 基 本 的 思想 是 使 用 系统 资源 的 主体 获得 的 权限 不 多 于 他 们 请 求 
执行 的 任务 的 最 小 值 和 执行 任务 所 需要 时 间 的 最 小 值 。 最 小 特权 原则 可 以 降低 未 经 授权 访 
问 系统 带 来 的 风险 。 

在 日 常生 活 中 ,最 小 特权 的 例子 也 很 多 。 例 如 ,一 些 汽车 制造 厂 制造 汽车 锁 , 用 一 把 钥 
是 开车 门 和 点 火器 ,而 用 另 一 把 钥匙 开 手 套 箱 和 衣物 箱 ; 停车 场 的 服务 员 有 安排 停车 的 权 
力 而 没有 从 汽车 行李 箱 里 取 东 西 的 权力 。 

在 信息 系统 安全 设计 中 ,需要 最 小 特权 的 例子 也 很 多 。 例 如 每 个 用 户 并 不 需要 使 用 所 
有 的 网 上 服务 ,不 需要 去 修改 (甚至 去 读 ) 系 统 中 的 每 一 个 文件 ,也 不 需要 都 知道 系统 的 根 密 
码 (root password); 每 个 系统 管理 员 也 没有 必要 都 知道 系统 的 根 密码 ; 每 个 系统 也 不 需要 
去 申请 其 他 系统 的 文件 。 

2. 职责 分 离 

职责 分 离 是 指 遵循 不 相 容 职责 相 分 离 的 原则 ,实现 合理 的 组 织 分 工 。 例 如 一 个 公司 的 
授权 、 签 发 .核准 、 执 行 .记录 工作 ,不 应 该 由 一 个 人 担任 。 职 责 分 离 将 不 同 的 责任 分 派 给 不 
同 的 人 员 以 期 达到 互相 牵制 ,消除 一 个 人 执行 两 项 不 相 容 的 工作 的 风险 。 例 如 收 款 员 .出纳 
员 .审计 员 应 由 不 同 的 人 担任 。 计 算 机 环境 下 也 要 有 职责 分 离 ,为 避免 安全 上 的 漏洞 ,有 些 
许可 不 能 同时 被 同一 用 户 获 得 。 


2.2.4 多 级 安全 模型 


多 级 安全 (Multilevel Security,MLS) 的 概念 始 于 20 世纪 60 年 代 , 当 时 美国 国防 部 决 
定 开发 一 些 保护 计算 机 中 存储 的 机 密 数 据 的 措施 。 在 这 之 前 ,一 直 是 采用 一 些 规章 制度 来 
限制 那些 未 经 批准 的 人 员 处 理 系统 内 的 机 密 数 据 , 因 为 那 时 还 没有 值得 信任 的 计算 机 能 够 
有 效 地 保护 计算 机 内 的 机 密 数 据 。 在 多 级 安全 系统 中 ,所 有 信息 都 有 一 个 密级 ,每 个 用 户 也 
都 相应 地 有 一 标签 。 要 决定 是 否 允 许 某 用 户 读 一 个 文件 ,那么 就 比较 该 用 户 的 标签 是 否 与 
该 文件 的 秘密 级 相符 。 安 全 策略 要 求 , 为 了 合法 地 得 到 某 一 信息 ,用 户 的 安全 级 必须 大 于 或 
等 于 该 信息 的 安全 级 ,并 且 该 信息 属于 用 户 的 信息 访问 类 别 。 

美国 国防 部 (DoD) 将 秘密 等 级 由 高 到 低 分 为 四 个 级 别 : 最 高 机 密 (TOP SECRET) 、 机 
密 (SECRET) .秘密 CCONFIDENTIAL)、 非 秘密 (UNCLASSIFIED)。 不妨 假设 一 个 主体 
是 SECRET 级 别 ,那么 它 可 以 访问 SECRET 级 别 ( 或 更 低级 别 ) 的 客体 ,但 是 不 可 以 访问 
TOP SECRET 级 别 的 客体 。 注 意 由 于 某 些 未 知 的 原因 ,安全 级 别 一 般 用 大 写 表示 。 

假设 O 是 客体 ,S 是 主体 。O 的 安全 级 别 用 L(O) 表 示 .,S 的 安全 级 别 用 L(S) 表 示 。 在 
DoD 系统 中 ,它们 都 使 用 上 面 四 个 级 别 , 而 且 , 对 于 一 个 SECRET 级 别 的 对 象 ,或 多 或 少 要 
求 进行 常规 的 背景 资料 检查 ,而 TOP SECRET 的 对 象 则 要 求 扩展 背景 资料 检查 和 测 谎 
测试 。 

有 许多 实际 问题 和 信息 分 类 相关 。 举 一 个 例子 ,分 类 区 间 并 不 总 是 清楚 的 ,两 个 有 经 验 
的 用 户 可 能 有 很 多 观点 不 同 。 而 且 , 采 用 的 安全 级 别 的 粒度 也 是 一 个 问题 ,完全 有 可 能 创建 
一 个 文档 , 它 的 每 段 是 UNCLASSIFIED, 而 整个 文档 是 TOP SECRET。 当 源 程序 需要 分 
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类 (DoD 有 时 会 发 生 这 种 情况 ) 时 ,这 个 问题 变 得 更 为 严重 。 与 粒度 相反 的 是 聚合 ,敌手 可 
能 通过 仔细 分 析 UNCLASSIFIED 文件 来 搜集 TOP SECRET 信息 。 

当主 体 与 客体 是 不 同 的 安全 级 别 而 使 用 相同 的 系统 资源 时 ,多 边 安全 就 十 分 重要 了 。 
MLS 系统 的 目的 是 加 强 访 问 控制 的 形式 ,通过 限制 主体 对 客体 的 必需 的 访问 级 。 军 事 和 政 
府 一 直 以 来 对 MLS 很 感 兴趣 ,特别 是 美国 政府 .已 经 进行 了 很 多 MLS 的 研究 ,因此 ,MLS 
的 优点 和 弱点 相对 比较 清楚 。 

1.Bell-LaPadula 模型 

这 里 首先 介绍 的 安全 模型 是 Bell-LaPadula(BLP), 这 个 模型 是 以 它 的 发 明 者 Bell 和 
LaPadula 来 命名 的 。BLP 的 目的 是 当 涉 及 任何 MLS 需要 满足 的 秘密 性 时 ,获取 最 小 的 请 
求 。 首 先 讨 论 下 面 两 个 概念 。 

简单 安全 条 件 : 主体 S 可 以 读 客体 O, 当 且 仅 当 L(O) 小 于 等 于 L(S)。 

x* 属 性: 主体 S 可 以 写 客体 0, 当 且 仅 当 L(CS) 小 于 等 于 LCO) 。 

简单 安全 条 件 仅仅 表明 Alice 如 果 缺 少 合适 的 访问 级 ,就 不 能 读 文 档 。 这 个 条 件 显 然 
是 每 个 MLS 系统 都 要 求 的 。 

* 属性 的 设计 是 为 了 防止 TOP SECRET 信息 被 写 和 人 SECRET 文件 。 这 会 破坏 MLS 
的 安全 性 ,因为 用 户 具 有 SECRET 权限 能 够 读 TOP SECRET 信息 。 写 可 能 发 生 , 比 如 计 
算 机 病毒 的 结果 。 注 意 ,计算 机 病毒 能 够 破坏 MLS 系统 ,这 种 攻击 至 今 对 MLS 仍 是 很 大 
的 威胁 。 

当 * 属性 暗示 “不 下 写 ” 时 ,简单 安全 条 件 可 以 被 总 结 为 “不 上 读 *"。 因 此 ,BLP 可 以 简 
单 的 表示 为 “不 上 读 , 不 下 写 ”。 很 难 想象 还 有 比 这 更 简单 的 安全 模型 。 

BLP 很 简单 , 它 是 少数 能 够 证 明 系 统 的 模型 之 一 ; 但 是 ,BLP 太 简 单 了 ,以 致 没有 实用 
价值 。 

2. Biba 模型 

BLP 处 理 秘密 性 ,Biba 处 理 完整 性 。 事 实 上 ,Biba 模型 本 质 上 是 BLP 的 完整 版 。 

如 果 相 信 客 体 O, 的 完整 性 但 不 相信 客体 O; 的 完整 性 ,那么 如 果 客 体 O 是 由 O 和 O。 
组 成 的 , 则 不 能 相信 客体 O 的 完整 性 。 换 言 之 ,O 的 完整 级 别 是 O 所 包含 的 所 有 客体 的 完 
整 性 的 最 小 值 。 对 于 秘密 性 ,采用 高 水 位 线 原理 ,而 对 于 完整 性 ,可 以 采用 低 水 位 线 原理 。 
为 了 更 好 地 说 明 Biba 模型 ,不妨 令 ICO) 表 示 客 体 O 的 完整 性 ,I(S) 表 示 主 体 S 的 完整 
Biba 模型 有 下 面 两 个 概念 需要 理解 : 
写 规则 一 一 主体 S 可 以 写 客体 O 当 且 仅 当 1(O) 小 于 等 于 1(S); 
读 规则 一 一 主体 S 可 以 读 客体 O 当 且 仅 当 ICS) 小 于 等 于 ICO) 。 
Biba 模型 表明 完整 性 高 的 主体 可 以 写 完 整 性 低 的 客体 ,完整 性 低 的 主体 可 以 读 完 整 性 
高 的 客体 。 从 本 质 上 说 ,我 们 关心 的 是 S 是 否 被 低 完 整 性 数据 “污染 ”, 例 如 老师 (高 完整 性 
主体 ) 可 以 修改 ( 写 ) 小 学 生 的 作文 ( 低 完 整 性 客体 ) :小 学 生 ( 低 完整 性 主体 ) 可 以 学 习 ( 读 ) 老 
师 的 范文 (高 完整 性 客体 ) 。 

图 2-10 说 明了 BLP 和 Biba 模型 的 不 同 。 最 根本 的 不 同 是 BLP 的 目的 是 秘密 性 ,采用 
高 水 位 线 原 理 , 而 Biba 的 目的 是 完整 性 .采用 低 水 位 线 原 理 。 
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2.2.5 多 边 安 全 


多 级 安全 系统 加 强 了 访问 控制 (或 者 信息 泄露 )“ 起 伏 变 化 ”, 多 级 系统 中 安全 级 别 是 按 
照 等 级 设置 的 。 一 般 而 言 , 安 全 标签 的 简单 等 级 对 于 处 理 实际 环境 并 不 十 分 灵活 。 多 边 安 
全 使 用 区 间 (compartment) 进 一 步 限 制 了 信息 通过 安全 等 级 。 

使 用 概念 : 安全 等 级 { 区 间 } 来 表示 一 个 安全 等 级 以 及 与 之 相关 的 安全 区 间 。 举 一 个 例 
子 , 如 果 有 区 间 CAT 和 DOG 属于 TOP SECRET,. 则 可 以 表示 为 TOP SECRET{CAT}， 
TOP SECRET{DOG} 和 TOP SECRET{CAT,DOG}。 当 每 一 个 区 间 都 是 TOP SECRET 
时 ,如 果 允 许 TOP SECRET 级 别 的 主体 S 访 问 区 间 , 那 么 它 仅 能 够 访问 一 个 区 间 。 因 此 ， 
区 间 限 制 了 信息 通过 安全 等 级 。 

区 间 用 来 加 强 “ 需 要 知道 (need to know) "原则 , 即 主体 仅 允许 访问 他 们 必须 知道 的 信 
息 。 如 果 一 个 主体 对 TOP SECRET 等 级 没有 合法 的 “需要 知道 ”, 那 么 区 间 可 以 用 来 限制 
主体 可 以 访问 的 TOP SECRET 信息 。 

为 什么 MLS 模型 中 用 区 间 代 替 简 单 创 建 一 个 新 的 分 类 等 级 呢 ? 原因 是 这 样 的 , 举 一 
个 例子 , TOP SECRET{CAT} 与 TOP SECRET {DOG} 是 不 可 比 的 , 即 TOP SECRET 
{CAT} 小 于 等 于 TOP SECRET{DOG} 与 TOP SECRET{CAT)} 小 于 等 于 TOP SECRET 
{DOG}) 都 不 成 立 。 使 用 严格 的 MLS 等 级 ,这 两 个 式 子 可 能 有 一 个 成 立 。 

图 2-11 中 是 一 个 多 边 安全 模型 ,箭头 表示 “大 于 等 于 ”的 关系 。 在 这 个 例子 中 ,主体 有 
TOP SECRET{CAT} 级 别 的 权限 ,但 不 能 访问 TOP SECRET{DOG} 区 间 的 信息 。 另 外 ， 
如 果 主 体 有 TOP SECRET{CAT} 级 别 的 权限 ,那么 它 能 访问 TOP SECRET{CAT} 区 间 的 
信息 ,但 不 能 访问 TOP SECRET{CAT,DOG}) 区 间 的 信息 ,即使 该 主体 有 TOP SECRET 
级 别 的 权限 。 可 知 , 区 间 的 目的 是 加 强 “ 需 要 知道 ”原则 。 

没有 多 边 安 全 (区 间 ) ,多 级 安全 也 能 使 用 ,反之 亦 然 ,但 是 它们 通常 一 起 使 用 。 比 如 英 
国医 协会 (British Medical Association, BMA) 的 法 律 系 统 使 用 的 是 多 级 安全 系统 一 一 因为 
法 律 制 定 者 对 MLS 很 熟悉 。 一 些 疾病 (比如 AIDS) 被 认为 是 TOP SECRET, 而 不 太 敏 感 
的 信息 (比如 处 方 ) 被 认为 是 SECRET。 但 是 如 果 主 体 已 经 开 了 治疗 AIDS 的 药物 ,任何 拥 
有 SECRET 权限 的 人 很 容易 就 能 够 推测 到 TOP SECRET 信息 。 因 此 ,所 有 的 信息 有 必要 
以 更 高 的 级 别 分 类 ,这 样 所 有 的 用 户 都 要 求 高 级 别 的 权限 ,这 就 违背 了 系统 的 目的 。 最 终 ， 
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TOP SECRET{CAT, DOG} 


TOP SECRET{CAT} TOP SECRET{DOG} 


TOP SECRET 


SECRET{CAT, DOG} 


SECRET{CAT} SECRET{DOG} 


SECRET 


2-11 多 边 安全 例子 


BMA 系统 使 用 了 多 边 安全 系统 ,从 而 有 效 地 解决 了 问题 。 于 是 ,AIDS 处 方 信息 从 一 般 处 
方 信息 中 间隔 出 来 ,从 而 加 强 了 “需要 知道 ”原则 。 


2.2.6 隐蔽 信道 


隐蔽 信道 可 以 简单 描述 为 不 是 系统 设计 者 设计 的 通信 路 径 。 隐 蔽 信道 在 许多 情况 下 会 
发 生 ,特别 是 网 络 通信 中 。 隐 项 信道 在 现实 中 几乎 是 不 能 消除 的 ,这 里 的 目的 是 要 限制 这 些 
信道 的 容量 。 

设计 MLS 系统 的 目的 是 限制 合法 信道 的 通信 ,但 是 隐蔽 信道 提供 了 信息 泄露 的 另 一 
种 方法 。 举 一 个 例子 ,共享 资源 的 不 同安 全 级 别 的 主体 可 以 用 来 传递 信息 ,这 就 违背 了 “no 
read up ,no write down” 的 BLP 限制 。 

假设 Alice 拥有 TOP SECRET 级 别 的 权限 ,而 Bob 只 有 CONFIDENTIAL 级 别 的 权 
限 。 如 果 所 有 用 户 共享 文件 空间 ,Alice 与 Bob 可 以 协商 ,如 果 她 想 发 送 1 给 Bob ,她 需要 创 
建 一 个 文件 FileXYzW ,如 果 她 想 发 送 0, 则 不 需要 创建 这 样 的 文件 。Bob 检查 FileXYzW 
是 否 存在 ,如 果 文 件 存 在 ,他 知道 Alice 已 经 发 送 给 他 1; 如 果 不 存 在 , 则 传 给 他 的 是 0。 通 
过 这 种 方法 , 单 比特 信息 可 以 通过 隐蔽 信道 传输 , 即 通过 一 种 并 不 是 系统 设计 者 用 来 通信 的 
方法 。 注 意 Bob 不 能 知道 文件 FileXYzW 的 内 容 , 因 为 他 没有 要 求 的 权限 ,但 是 假设 他 能 够 
询问 文件 系统 是 否 存 在 这 样 的 文件 。 

从 Alice 到 Bob 的 单 比特 泄露 可 能 不 会 引起 注意 ,但 是 通过 与 Bob 同步 Alice 能 够 泄露 
任何 数量 的 信息 。 比 如 ,Alice 与 Bob 可 以 商议 让 Bob 每 分 钟 检查 一 次 FileXYzW 文件 ,如 
果 文 件 不 存在 ,那么 Alice 发 送 的 是 0, 如 果 存 在 则 Alice 发 送 的 是 1。 通 过 这 种 方法 Alice 
可 以 慢 慢 将 TOP SECRET 信息 泄露 给 Bob。 图 2-12 说 明了 这 个 问题 。 

隐蔽 信道 有 多 种 方法 建立 ,比如 打印 队列 ,可 以 用 来 标志 信息 ,方法 与 上 面 的 文件 例子 
相同 。 网 络 流量 有 许多 潜在 的 隐蔽 通道 ,事实 上 ,在 一 些 黑客 工具 中 也 能 够 发 现 隐蔽 信道 。 

存在 隐蔽 信道 需要 三 个 条 件 : 第 一 ,发 送 方 和 接收 方 必须 访问 共享 资源 ; 第 二 ,发 送 方 
必须 能 够 区 分 接收 者 注意 到 的 共享 资源 的 属性 ; 第 三 ,发 送 方 与 接收 方 在 通信 中 必须 同步 。 
由 此 可 知 ,隐蔽 信道 十 分 普遍 .大概 完 全 清除 隐蔽 信道 的 方法 只 有 清除 所 有 的 共享 资源 和 所 
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Alice: 创建 文件 ”删除 文件 ”创建 文件 ”创建 文件 ”删除 文件 

Bob: 检查 文件 ”检查 文件 ”检查 文件 ”检查 文件 ”检查 文件 
Data: 1 0 i 0 

Time: | | | | i 


2-12 ”隐蔽 信道 例子 


有 的 通信 ,这 几乎 是 不 可 能 的 。 

每 秒 1 比特 的 限制 足够 隐蔽 信道 保护 了 吗 ? 假设 TOP SECRET 文件 是 100 MB, 这 个 

文件 的 明文 版 本 存储 在 TOP SECRET 文件 系统 中 ,加 密 版 本 的 文件 存储 在 UNCLASSIFIED 
位 置 。 如 果 能 够 将 这 个 系统 的 隐蔽 信道 容量 设置 为 每 秒 1 比特 ,那么 通过 隐蔽 信道 需要 超 
过 25 年 的 时 间 来 泄露 100MB 的 文件 。 换 言 之 ,降低 隐蔽 信道 的 容量 是 很 有 用 的 ,但 是 是 不 
可 能 产生 效果 的 。 
举 一 个 真实 世界 中 隐蔽 信道 的 例子 ,假设 传输 控制 协议 (Transmission Control 
Protocol,TCP) 的 头 部 包含 用 不 到 的 “预订 ”" 域 ,这 个 域 完 全 可 以 用 来 隐蔽 地 传递 信息 。 也 
可 以 将 信息 隐藏 在 TCP 序列 号 中 或 ACK 域 中 ,这 样 也 可 以 在 发 送 方 与 接收 方 之 间 产 生 一 
个 隐蔽 信道 。 图 2-13 说 明了 这 个 方法 ,通过 Covert-TCP 工具 在 序列 号 中 传递 信息 。 发 送 
方 在 序列 号 X 中 隐藏 信息 ,产生 的 数据 包 ( 它 的 源 地 址 伪造 成 接收 方 的 地 址 ) 被 发 送 给 任何 
服务 器 。 当 服务 器 收 到 数据 包 时 , 它 不 经 意 地 完成 了 隐蔽 信道 一 一 传递 包含 在 X 中 的 信息 
给 了 接收 方 。 在 网 络 攻击 中 这 种 隐蔽 通道 常常 被 用 到 。 


| 


无 辜 的 服务 器 
SYN ACK( 或 者 RST) 
伪造 源 : C 源 : B 
目的 地 : B 目的 地 : C 


SEQ : X ACK : X 


Covert-TCP 发 送 方 


Covert-TCP 接 收 方 


2-13 ”使 用 TCP 序列 号 的 隐蔽 通道 


2.3 机 密 性 


机 密 性 的 目的 是 保护 信息 以 免 泄 露 或 暴露 给 那些 未 被 授权 而 拥有 这 个 信息 的 人 (例如 ， 
个 人 或 组 织 ) 。 信 息 可 用 许多 不 同 的 形式 进行 存储 和 传递 ,从 而 可 通过 不 同类 型 的 渠道 泄露 
出 去 ,这 些 渠道 包括 : 中 解 释 一 个 表达 某 一 信息 的 数据 项 ; 四 观察 一 个 数据 项 是 否 存在 (不 
管 它 的 内 容 ); 加 观察 数据 项 的 大 小 ; @ 观 察 包含 在 数据 项 特征 中 的 动态 变化 ,如 内 容 、 存 
在 性 .大 小 。 机 密 性 服务 潜在 地 需要 保护 所 有 这 些 泄露 信息 的 渠道 。 
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2.3.1 提供 机 密 性 的 方法 


有 两 种 基本 方法 可 提供 机 密 性 : 四 访问 控制 方法 ,防止 人 侵 者 观察 敏感 信息 的 表示 ; 
加 信息 隐藏 方法 。 可 允许 一 个 人 观测 信息 的 表示 :但 他 从 表示 中 无 法 推出 所 表示 的 信息 内 
容 或 提炼 出 有 用 的 信息 。 

访问 控制 方法 包括 以 下 一 些 策略 : 

(1) 访问 控制 机 制 , 它 过 滤 每 个 寻找 读 访 问 信 息 资源 的 请 求 ; 

(2) 流 控 制 措施 , 它 防止 信息 流 从 一 个 (敏感 的 ) 环 境 流动 到 另 一 个 (保护 级 别 低 的 ) 
环境 ; 

(3) 物理 安全 措施 , 它 防止 物理 上 侵入 一 个 有 敏感 信息 的 环境 ; 

(4) 辐射 安全 保护 , 它 防止 电磁 场 振动 的 发 射 以 免 敏感 信息 被 析出 ，; 

(5) 信息 分 离 技 术 , 例 如 ,通过 多 个 独立 的 通道 传输 不 同 的 数据 项 的 分 量 ; 

(6) 保护 传输 技术 ,如 扩 频 技术 或 跳 频 技术 。 

在 上 面 的 这 些 对 策 中 ,影响 到 网 络 协议 的 对 策 是 访问 控制 机 制 和 流 控制 机 制 措施 。 访 
问 控制 机 制 在 2. 2 节 中 已 作 了 讨论 。 流 控制 关心 的 是 传播 信息 的 能 力 , 它 确 定 信 息 可 以 流 
动 的 合法 信道 。 

隐藏 信息 的 方法 在 对 信息 表示 没有 可 靠 形 式 的 访问 时 需要 ,例如 , 当 信 息 通过 无 线 电 或 
别 的 不 可 信 通 信 设 备 时 。 加 密 是 数据 通信 中 隐藏 信息 的 一 种 主要 机 制 , 不 过 由 于 实际 需求 ， 
一 些 新 技术 如 数字 水 印 技术 .量子 密码 技术 .匿名 技术 等 正在 发 展 和 成 熟 。 

当 信息 在 不 同 的 环境 之 间 和 运动 时 ,可 能 需要 不 同 的 方法 来 实现 机 密 性 ,图 2-14 就 是 一 
个 例子 。 来 自 一 个 使 用 访问 控制 方法 保护 的 环 网 络 受 控 的 环境 访问 受 控 的 环境 
境 的 信息 项 ,再 使 用 隐藏 信息 的 方法 已 经 没有 必 
要 。 当 它 运动 到 一 个 不 同 的 没有 可 靠 的 访问 控 
制 保护 的 环境 (例如 一 个 公开 网 络 ) 时 ,要 在 这 个 
环境 中 维持 机 密 性 ,就 必须 使 用 加 密 ( 隐 藏 信息 
的 方法 ) 。 紧 接着 数据 项 又 运动 到 另 一 个 访问 控 
制 方法 保护 的 环境 ,这 时 就 不 需要 隐藏 信息 的 
方法 。 


2.3.2 机 密 性 机 制 


1. 加 密 

加 密 和 解密 提供 了 从 明文 流 到 密 文 流 的 一 种 交换 方法 ,其 基础 在 于 加 密 和 解密 所 用 到 
的 密 钥 ,这 是 一 种 在 信息 隐藏 中 主要 的 提供 机 密 性 的 方法 。 

加 密 机 制 的 应 用 ,需要 考虑 以 下 几 个 因素 。 

密码 体制 的 类 型 : 需要 从 对 称 密码 体制 和 公 钥 密码 体制 中 选择 出 一 类 。 一 般 来 说 , 公 
钥 密 码 体制 的 密 钥 管理 比 前 一 种 简单 ,但 是 在 相同 强度 的 条 件 下 , 公 钥 密码 体制 需要 更 多 的 
资源 。 在 带宽 紧张 的 情况 下 ,对 称 密码 体制 的 效率 要 更 高 。 

算法 的 选择 : 在 每 一 类 密码 体制 中 .都 有 很 多 的 密码 算法 。 要 从 密码 强度 、 性 能 、 实 现 
的 代价 ,标准 以 及 可 出 口 性 等 方面 来 考虑 。 


2-14 不 同 环境 中 的 机 密 性 保护 
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工作 模式 : 像 DES 这 种 固定 分 组 大 小 的 算法 ,对 任意 长 度 的 数据 需要 一 种 工作 模式 。 

填充 需要 : 数据 的 大 小 经 常 不 适合 算法 的 需要 ,所 以 需要 填充 一 些 附 加 的 数据 。 

初始 化 需要 : 在 提供 的 机 密 性 中 ,这 里 有 一 个 一 般 的 要 求 ,加 密 一 个 数据 项 不 总 是 产生 
同样 的 结果 。 否 则 , 密 文 流 中 的 重复 模式 往往 能 够 提供 更 多 的 信息 ,即使 不 知道 密 钥 。 由 于 
这 个 原因 ,链接 和 反馈 密码 体制 使 用 初始 向 量 IV 来 启动 加 密 过 程 。 每 次 的 IV 都 不 同 , 可 
以 保密 ,也 可 以 不 保密 。 

同步 需要 : 来 自 于 同步 密码 体制 。 

密 钥 管理 过 程 : 密 钥 管理 涉及 各 个 不 同 阶段 .包括 密 钥 产 生 、 密 钥 分 配 、 密 钥 销毁 、 密 钥 
取消 等 。 

一 些 因素 ,如 密码 体制 类 型 和 密 钥 管 理 过 程 对 应 用 和 其 环境 是 基础 的 ,然而 在 不 同 的 应 
用 实例 中 这 些 细节 可 能 很 不 一 样 。 安 全 协议 在 实际 应 用 中 通常 提供 传送 密码 算法 的 标识 符 
和 参数 。 算 法 的 参数 包括 : 工作 模式 和 (或 ) 填 充 约定 的 标志 ; 具体 密码 体制 的 参数 ,比如 
RSA 中 模 的 长 度 ; 初始 化 向 量 值 ; 工作 模式 和 (或 ) 填 充 约定 通过 算法 标识 符 来 暗示 ,或 者 
它们 需要 独立 地 确定 。 

2. 数据 填充 

为 了 防止 通过 监视 传送 数据 的 长 度 来 获取 信息 ,一般 采 用 数据 填充 技术 。 比 如 ,可 以 通 
过 观测 用 户 A 和 用 户 B 今 天 传送 的 数据 比 通常 更 长 ,就 有 可 能 推出 某 些 信息 ,即使 不 知道 
解密 它们 的 密 钥 。 数 据 填充 和 加 密 机 制 往往 联系 在 一 起 ,来 保护 数据 不 被 泄露 。 通 常 ,在 加 
密 前 把 明文 的 长 度 填充 为 规定 的 长 度 。 

3. 业务 流 填 充 

业务 流 的 机 密 性 是 为 了 防止 通过 观察 网 络 业务 流 而 使 敏感 信息 泄露 。 例 如 , 某 人 可 通 
过 观察 发 现 白 宫 和 五 角 大 楼 之 间 某 天 的 消息 传输 比 平 时 繁忙 了 ,从 而 得 到 一 些 信息 ,而 完全 
不 需要 知道 这 些 信 息 的 内 容 。 而 且 ,如果 窃听 者 能 知道 这 些 增加 的 消息 是 从 白宫 的 某 个 机 
构 到 五 角 大 楼 的 某 个 机 构 之 间 传 输 的 ,那么 他 就 可 以 得 到 更 多 的 信息 。 

业务 流 填充 是 提供 业务 流 机 密 性 的 一 个 基本 机 制 。 它 包含 生成 伪造 的 通信 实例 ,伪造 
的 数据 单元 和 (或 ) 伪 造 的 数据 单元 中 的 数据 。 这 个 机 制 与 加 密 无 关 , 因 为 有 必要 隐藏 真实 
数据 和 伪造 数据 之 间 的 差别 。 然 而 ,注意 到 业务 流 填 充 和 资源 共享 (如 在 一 个 分 组 交换 网 络 
或 一 个 局 域 网 络 中 ) 存 在 着 固有 的 矛盾 。 在 一 个 通道 中 的 业务 流 填充 会 导致 通道 总 是 满 容 
量 运 行 ,从 而 大 大 地 减少 了 资源 共享 的 可 能 。 

在 一 个 资源 共享 的 多 节点 的 网 络 环境 中 ,业务 流 机 密 性 变 得 很 难保 证 。 通 常 ,一 个 通信 
如 建立 连接 或 无 连接 数据 单元 的 传输 ,需要 传送 一 个 能 被 中 继 系 统 解释 的 地 址 。 依 赖 于 所 
有 网 络 组 件 的 信任 关系 ,这 个 地 址 信息 的 不 同 部 分 能 被 加 密 成 不 同 的 值 。 因 此 ,地 址 隐藏 成 
为 多 点 和 多 节点 协议 中 的 重要 研究 问题 。 

4. 其 他 机 制 

除了 上 面 介绍 的 机 制 外 ,还 有 一 些 其 他 提供 机 密 性 的 方法 ,如 路 由 控制 .数据 分 割 、 扩 频 
技术 和 跳 频 技术 。 

网 络 协议 中 的 路 由 控制 提供 信息 流 控制 。 这 种 访问 控制 形式 结合 可 信和 系统 组 件 提 供 安 
全 标记 机 制 。 数 据 分 割 能 够 用 很 多 不 同 的 方法 实现 。 比 如 ,要 秘密 地 传送 一 个 文件 ,可 以 把 
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文件 比特 序列 分 成 不 同 的 文件 ,其 中 ,一 个 包含 奇数 位 的 比特 的 数据 流 , 另 一 个 包含 偶数 位 
比特 的 数据 流 。 这 两 个 文件 能 够 独立 地 传送 ,比如 ,不 同 的 通信 系统 ,不 同 的 路 由 和 不 同 的 
时 间 。 这 种 方法 能 有 效 地 对 抗 多 种 类 型 的 窃听 威胁 。 

秘密 共享 是 数据 分 割 的 一 种 变形 。 它 能 应 用 于 密 钥 管理 ,比如 当 一 个 主 密 钥 需 要 手工 
分 配给 一 个 系统 时 ,将 这 个 密 钥 分 成 两 部 分 ,由 两 个 不 同 的 人 持 有 。 使 用 系统 将 需要 两 个 人 
合作 ,这 就 减 小 了 单个 人 持 有 和 密 钥 滥用 系统 的 机 会 。 

扩 频 技术 和 跳 频 技术 在 商业 和 非 机 密 性 的 环境 中 很 少 使 用 。 


2.4 完 整 性 


完整 性 的 目的 是 保护 数据 以 免 被 未 授权 的 用 户 改 变 、 删 除 或 替代 , 它 是 对 改变 数据 的 价 
值 和 存在 所 采取 的 一 类 防护 措施 。 


2.4.1 提供 完整 性 的 方法 


数据 完整 性 服务 使 数据 不 受 无 意 或 有 意 的 损坏 。 有 以 下 两 种 基本 方法 来 保证 数据 的 完 
整 性 。 

(1) 访问 控制 方法 : 用 于 避免 人 侵 者 有 机 会 损坏 数据 ; 

(2) 损坏 -检测 方法 : 承认 数据 会 有 损坏 (有 意 或 无 意 ) ,但 能 确保 这 些 损失 会 被 检测 出 
来 ,并 且 能 够 被 纠正 或 向 接收 者 提出 警告 。 

利用 访问 控制 方法 来 保证 数据 的 完整 性 类 似 于 机 密 性 的 情况 。 若 数据 在 可 信 环 境 中 应 
用 ,数据 被 有 意 地 破坏 的 风险 能 被 消除 。 数 据 的 完整 性 相对 而 言 比较 容易 实现 。 然 而 ,要 注 
意 访 问 控制 不 能 保护 无 意 的 数据 损坏 (例如 在 一 个 安全 但 有 噪音 的 信道 中 ) 。 

一 个 完整 性 服务 需要 保护 数据 在 能 应 用 的 粒度 上 不 能 被 创建 或 修改 。 注 意 到 ,在 连接 
完整 性 的 情况 下 ,这 个 必要 的 保护 用 来 防止 在 连接 中 传输 的 个 人 数据 单元 的 重 放 、 重 排 或 

完整 性 服务 没有 必要 保证 在 涉及 的 粒度 上 的 数据 单元 不 被 重 放 、 重 排 或 丢失 。 例 如 , 连 
接 完整 性 服务 没有 必要 保护 整个 连接 不 被 重 放 ,而 无 连接 完整 性 服务 没有 必要 保证 特定 的 
无 连接 信息 单元 不 被 重 放 、 重 排 或 丢失 。 更 进一步 的 保护 有 时 需要 , 且 能 用 一 种 序列 完整 性 
机 制 来 实现 。 

对 数据 损坏 的 检测 有 两 种 相应 的 方法 。 损 坏 能 被 报告 给 可 能 远离 该 过 程 或 进行 其 他 活 
动 的 接收 者 。 相 应 地 ,系统 又 试图 通过 引起 传输 数据 被 破坏 的 方法 自动 地 恢复 破坏 数据 。 
后 者 需要 一 个 附加 的 恢复 机 制 。 


2.4.2 完整 性 机 制 


1. 测试 字 

银行 系统 应 用 一 种 叫 测 试 字 (testword) 的 检测 -损坏 数据 完整 性 机 制 已 经 很 多 年 了 。 
设计 的 这 些 系统 应 用 于 确保 在 不 受 保护 的 电报 /电话 网 络 上 进行 的 金融 交易 。 它 们 利用 双 
方 协定 来 使 交易 字段 受到 保护 (例如 账号 名 称 .日 期 和 总 量 ) ,通过 一 个 静态 的 内 部 规定 的 密 
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钥 和 一 张 包含 着 一 串 随 机 数 的 卡 。 发 送 者 通过 一 个 双方 认同 的 算法 将 信息 转化 成 一 个 字符 
串 ( 测 试 字 ? 附 加 在 交易 中 ,接收 者 用 接收 到 的 交易 数据 重复 同样 的 步骤 ,从 而 能 够 验证 交易 
的 完整 性 。 测 试 字 是 封装 的 一 个 早期 技术 实现 。 

2. 封装 和 签名 

最 普遍 的 封装 和 签名 技术 包含 着 用 加 密 方 法 产生 一 个 作为 明文 的 附件 传送 的 值 。 当 需 
要 特定 的 数据 完整 性 的 要 求 时 ,这 样 一 个 附件 通常 被 称 为 完整 性 校 验 值 (ICV)。 

封装 和 签名 机 制 的 应 用 需要 在 使 用 者 中 解决 几 个 问题 ,例如 在 算法 的 选择 上 ,填充 要 求 
上 和 密 钥 管 理 过 程 上 都 需要 建立 共识 。 为 机 密 性 目的 加 密 机 制 的 使 用 的 大 多 数 讨论 适用 于 
数据 完整 性 目的 的 封装 和 签名 机 制 的 使 用 。 

3. 加 密 


一 些 加 密 机 制 既 可 用 于 保证 数据 的 完整 性 ,也 可 用 于 保证 机 密 性 。 假 定 被 保护 的 数据 
项 拥有 一 些 元 余 , 加 密 传输 元 余 能 保证 数据 完整 性 。 因 为 如 果 一 个 人 侵 者 不 知道 加 密 的 密 
钥 而 修改 了 密 文 的 一 部 分 ,会 导致 在 解密 的 过 程 中 产生 不 正确 的 信息 。 

元 余 可 用 多 种 途径 得 到 。 在 一 些 情况 下 ,数据 项 拥有 充分 自然 的 元 余 。 相 应 的 ,元 余 能 
优先 于 加 密 通 过 扩展 数据 项 得 到 ,一 个 校 验 值 称 为 修改 检测 码 (MDC)。 一 个 MDC 的 例子 
是 一 个 由 Hash 函数 产生 的 数据 摘要 ,或 一 个 循环 元 余 校 验 。 

不 是 所 有 的 加 密 机 制 都 能 提供 完整 性 。 例 如 ,在 加 密 模 式 中 ,一 个 可 逆 的 公 钥 算法 不 能 
够 保证 数据 的 完整 性 。 假 定 一 个 人 侵 者 知道 公 钥 ,那么 他 能 加 密 假 的 数据 项 。 

4. 序列 完整 性 

序列 完整 性 为 检测 数据 项 的 重 放 、 重 排 或 丢失 提供 了 一 种 方法 , 它 形成 了 一 个 序列 的 一 
部 分 。 假 定 每 一 个 数据 项 内 部 的 完整 性 由 上 述 的 一 种 机 制 保护 。 有 两 种 方法 可 以 提供 序列 
的 完整 性 : 在 通过 封装 、 签 名 或 加 密 等 保护 之 前 ,给 数据 项 附加 一 个 完整 性 序列 号 (ISN)，; 
@ 在 封装 .签名 或 加 密 等 过 程 中 利用 在 数据 项 的 序列 上 扩展 的 链 产 生 一 个 加 密 链 。 这 两 种 
方法 的 典型 过 程 如 图 2-15 所 示 。 


ISN 于 下 前 一 次 产生 
1 1 的 封装 /签名 


ISN | 数据 | | 


产生 封装 /签名 | 密 钥 


1 
ISN | 数据 | ICV 数据 | ICV 于 下 一 次 的 产生 


图 2-15 实现 序列 完整 性 的 两 种 方法 


5. 复制 
一 个 数据 完整 性 的 度量 能 由 多 存储 区 域 的 存储 信息 或 通过 在 不 同 的 路 径 中 传输 数据 的 
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多 个 备份 来 提供 。 可 假想 攻击 者 不 能 同时 危及 所 有 的 备份 ,那么 原始 数据 就 可 以 从 未 被 危 
及 的 备份 中 恢复 。 

6. 完整 性 恢复 

支持 完整 性 恢复 所 需 的 机 制 是 一 个 简单 的 标准 通信 错误 恢复 机 制 。 通 常 的 方法 是 在 检 
测 到 破坏 发 生 和 重新 发 送 那个 位 置 之 后 的 所 有 数据 之 前 重新 同步 到 检测 位 置 。 任 何 密码 处 
理 过 程 , 不 管 是 为 了 机 密 性 还 是 完整 性 , 均 需要 同时 重新 同步 到 同一 个 检测 位 置 。 完 全 恢复 
的 任何 失败 都 可 用 检测 原始 失败 的 同样 的 完整 性 机 制 来 检测 。 


2.5 不 可 否认 性 


非 否认 服务 为 一 个 通信 用 户 提供 保护 以 免 另 一 个 用 户 后 来 否认 所 发 生 的 一 些 通信 交 
换 。 当 这 些 服务 不 能 防止 一 个 用 户 和 否认 另 一 个 用 户 所 声称 发 生 的 某 事 时 ,它们 确保 可 获得 
无 可 辩 驭 的 证 据 以 支持 任何 类 似 纠 纷 的 迅速 解决 。 通 常 ,这 样 的 证 据 必 须 能 说 服 一 个 第 三 
方 仲裁 者 。 

在 数据 网 络 环境 中 ,否认 情况 可 分 成 两 种 不 同 的 情况 : 一 是 起 源 的 否认 , 即 存在 着 关于 
是 否 某 方 产生 了 关于 某 个 特定 数据 项 的 纠纷 和 (或 ) 关 于 产生 时 间 的 纠纷 ; 二 是 传递 的 否 
认 , 即 存在 着 关于 是 否 某 个 特定 数据 项 传递 给 了 某 方 的 纠纷 和 (或 ) 关 于 传递 发 生 时 间 的 
纠纷 。 


2.5.1 非 否 认 过 程 中 的 各 个 阶段 


与 非 否认 相 联 系 的 事件 序列 可 分 为 五 个 不 同 的 行动 阶段 : 服务 请 求 ,证 据 产生 ,证 据 传 
递 /储存 ,证 据 验证 和 纠纷 解决 。 

1. 服务 请 求 

首要 的 是 一 个 计划 好 的 非 否 认 服 务 的 应 用 必须 在 关键 行为 (critical action, 作 为 非 否 认 
服务 目的 的 事件 或 行为 ,如 一 个 特定 数据 项 的 产生 或 一 个 特定 数据 项 的 传递 ) 发 生 之 前 被 承 
认 。 假 设 A 和 B 将 要 参与 某 个 通信 事件 ,同时 B 想 获 得 A 事后 不 能 真实 地 拒绝 承认 所 发 
生 过 的 事实 的 保证 。 这 一 服务 的 提供 需要 A 的 合作 ,A 需要 参加 所 需要 的 证 据 的 产生 。 这 
可 能 需要 B 或 者 某 一 有 关 的 第 三 方 制定 一 个 清楚 的 预先 给 A 的 请 求 : 非 否认 将 要 应 用 于 
即将 来 临 的 这 一 特定 事件 中 。 当 有 一 个 标准 的 安排 或 通常 策略 存在 于 各 方 之 间 使 得 非 否 认 
永远 应 用 于 某 一 些 类 型 的 事件 的 时 候 , 这 种 清楚 的 请 求 并 不 总 是 必需 的 。 

作为 一 个 纸 上 的 交易 模拟 ,假设 关键 行为 是 A 立即 支付 一 定数 目的 金钱 给 B 的 承诺 ， 
而 且 将 被 应 用 的 这 一 机 制 就 是 传递 那 张 支票 。 非 否认 机 制 就 相当 于 在 支票 上 的 签名 。 通 
常 , 如 果 存 在 一 个 已 建立 好 的 协定 使 得 任 一 开支 票 的 那 一 方 会 被 期 望 同 时 签 上 名 ,B 清楚 地 
要 求 A 在 支票 上 签名 不 是 必需 的 。 然 而 ,在 某 些 情况 下 ,B 或 B 的 律师 会 清楚 地 要 从 人 A 那 
里 得 到 一 个 特定 类 型 的 非 否 认 , 例 如 ,一 张 已 被 鉴定 的 支票 。 

与 这 一 阶段 联系 的 角色 是 一 个 服务 请 求 者 和 一 个 证 据 产 生 者 。 服 务 请 求 者 常常 是 直接 
参与 关键 行为 的 通信 方 中 的 一 个 ,但 可 以 另 选 有 密切 关联 的 一 方 ,如 一 个 安全 区 域 中 的 权威 
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机 构 。 在 那个 支票 传递 模拟 中 ,服务 请 求 者 可 假定 为 B 或 B 的 律师 。 

2. 证 据 产生 

证 据 产生 与 关键 行为 相关 联 , 而 且 由 一 方 或 者 操作 一 致 的 某 几 方 组 成 的 群体 来 完成 , 它 
或 它们 扮演 着 证 据 产生 者 的 角色 。 被 认为 是 关键 行为 的 潜在 否定 者 的 那 一 方 需要 参与 证 据 
的 产生 。 可 信 第 三 方 也 应 该 参与 。 

回 到 上 面 支票 的 支付 模拟 中 ,证 据 产 生 包 括 生 成 那个 必需 的 支票 签名 和 一 个 银行 证 明 
(如 果 需 要 的 话 )。 

3. 证 据 传 递 /存储 

关键 行为 发 生 后 ,证 据 已 经 产生 ,证 据 要 被 传递 到 最 终 需要 使 用 的 一 方 或 几 方 , 和 (或 ) 
被 可 信 第 三 方 存储 可 能 作为 将 来 的 参考 。 

在 支票 支付 的 情况 下 ,证据 以 签名 的 形式 传递 给 最 终 用 户 , 并 且 如 果 需 要 ,支票 文档 中 
的 银行 证 明 也 要 传递 ,银行 也 要 保存 证 明 的 一 个 备份 。 

4. 证 据 验 证 

证 据 验 证 就 是 核对 被 传递 的 或 被 可 信 地 保存 着 的 证 据 。 这 一 阶段 是 事件 序列 的 一 个 正 
常 部 分 , 它 不 是 一 个 纠纷 的 结束 。 它 的 目的 是 让 各 方 信任 被 提供 的 证 据 将 会 足以 应 付 纠 纷 
| 

支票 支付 的 情况 下 ,这 一 阶段 包括 接收 者 的 各 种 检查 ,如 文档 是 否 被 适当 的 一 方 签 

名 ， Diy 和 否 正确 ,是 否 被 银行 完全 地 证 明了 (如 果 必 要 的 话 )。 如 果 接 收 者 熟悉 支付 方 的 签 
名 , 它 会 扩展 到 扮演 一 张 有 个 人 签名 的 支票 


一 阶段 引进 一 个 新 的 角色 一 证 据 验证 者 。 一 角色 被 假定 为 单独 的 一 方 或 者 操作 
一 致 的 多 方 。 一 般 包 括 提出 非 硬 ea 
5. 纠纷 解决 


最 后 的 阶段 就 是 解决 纠纷 的 阶段 。 它 将 发 生 在 与 前 面 阶段 完全 不 同 的 事件 框架 里 。 它 
确实 可 以 发 生 在 那些 阶段 之 后 不 久 ( 如 同 在 同一 个 通信 会 话 中 ) ,但 更 可 能 发 生 在 之 后 很 久 
(如 几 年 以 后 ) 。 

如 果 这 一 阶段 发 生 ,必须 找 回 证 据 ,重新 核实 它 ,然后 解决 纠纷 。 这 需要 引进 另 一 个 角 
色 一 一 仲裁 者 ,这 个 角色 被 假定 为 一 个 第 三 方 ,如 法 庭 。 


2.5.2 起 源 的 非 否 认 


起 源 的 非 否认 关系 到 关于 是 否 某 一 特定 方 “ 产 生 (originate)” 了 一 个 特定 数据 项 的 潜在 
的 争执 和 (或 ) 关 于 产生 时 间 的 争执 。 由 于 非 否认 这 一 形式 ,证 据 产 生 者 包括 了 发 起 者 和 在 
某 些 情 况 下 一 个 或 几 个 可 信 第 三 方 。 服 务 请 求 者 包括 了 数据 的 潜在 的 接收 者 和 (或 ) 代 表 了 
接收 者 利益 的 那 几 方 。 证 据 验 证 者 包括 数据 接收 者 和 (或 ) 可 信 第 三 方 。 

证 据 要 求 能 够 把 各 种 信息 片段 无 可 辩驳 地 联系 或 连接 起 来 ,至 少 包括 : 发 起 者 的 身 
份 ; 加 数据 项 的 精确 值 。 在 某 些 情况 下 ,也 包括 其 他 信息 ,例如 : “产生 发 生 的 日 期 和 时 
间 ”; 加 意 定 的 接收 者 的 身份 ; 图 与 证 据 产 生 有 关 的 所 有 可 信 第 三 方 的 身份 。 

这 里 集中 于 非 否 认 在 一 个 数据 通信 内 容 中 的 起 源 的 非 否 认 上 ,该 服务 和 大 多 数 实现 它 
的 机 制 同样 适用 于 数据 项 的 产生 和 紧 接 着 的 数据 库存 储 。 在 这 种 情况 下 ,重新 获得 数据 项 
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的 一 方 代替 了 原来 在 通信 内 容 中 被 认可 的 接收 者 。 常 用 的 可 以 提供 起 源 的 非 否认 的 基本 方 
法 有 以 下 几 种 。 

1. 发 起 者 的 数字 签名 

一 个 提供 起 源 的 非 否 认 的 机 制 是 发 起 者 数字 地 签署 数据 项 并 将 签名 传递 给 接收 者 。 数 
字 签 名 组 成 了 主要 的 证 据 。 证 据 验证 阶段 接收 者 验证 数字 签名 ,此 后 数字 签名 被 接收 者 保 
存 。 若 以 后 发 生发 起 者 否认 数据 项 起 源 的 事件 ,接收 者 可 以 向 对 方 出 示 保 存 的 数字 签名 作 
为 无 可 辨 驭 的 证 据 。 

假设 一 个 基于 公 钥 密码 的 数字 签名 方案 被 使 用 ,可 以 考虑 扮演 可 信 第 三 方 的 那个 角色 。 
检查 和 保留 公 钥 证 书 是 这 一 过 程 的 最 基本 的 部 分 。 如 果 在 纠纷 解决 中 接收 者 由 于 相信 自己 
有 正确 的 公 钥 而 生成 包含 一 个 数字 签名 的 证 据 , 这 还 不 足以 说 服 第 三 方 仲裁 者 。 公 钥 的 合 
法 性 的 确 溺 证 据 必须 来 自 可 信 第 三 方 。 

验证 过 程 必须 使 用 公 钥 证 书 , 公 钥 证 书 从 经 过 认可 的 认证 机 构 那 里 得 到 ,该 机 构 在 纠纷 
引起 时 可 以 再 证 实证 书 和 证 书 内 容 的 合法 性 。 因 此 ,发 布 公 钥 证 书 以 满足 非 否 认 意 图 的 认 
证 机 构 的 责任 会 稍 高 于 那些 发 布 公 钥 证 书 以 满足 基本 认证 、 机 密 性 或 完整 性 意图 的 机 构 的 
责任 。 

公 钥 撤销 时 需要 更 多 的 注意 。 如 果 公 钥 证 书 被 撤销 ,这 时 撤销 的 精确 时 间 必 须 让 所 有 
证 据 验 证 者 知道 。 被 证 明 过 的 密 钥 在 撤销 前 产生 的 证 据 是 合法 证 据 , 而 撤销 后 产生 的 证 据 
则 是 不 合法 的 。 在 它们 的 验证 过 程 中 ,证 据 验证 者 必须 极其 严格 地 检查 是 否 存在 可 能 的 密 
钥 或 证 书 的 撤销 。 此 外 , 非 否 认可 以 要 求实 时 撤销 ,这 比 实现 通常 的 周期 的 分 布 式 撤销 列表 
更 加 困难 。 

证 据 的 验证 和 存储 的 密 钥 同时 被 撤销 的 可 能 性 的 大 小 显然 是 个 问题 。 这 种 事件 的 结果 
如 何 取决 于 非 否认 的 策略 。 这 使 得 发 起 者 保存 适当 的 被 证 明 过 的 撤销 列表 以 支持 仲裁 者 那 
里 关于 发 起 者 的 情况 是 有 必要 的 。 

2. 可 信 第 三 方 的 数字 签名 

一 个 可 选 的 机 制 采用 可 信 第 三 方 的 数字 签名 代替 发 起 者 自己 的 数字 签名 。 可 信 第 三 方 
以 看 做 是 发 起 者 的 担保 。 通 过 这 一 机 制 ,发 起 者 传递 数据 项 给 可 信 第 三 方 ,可 信 第 三 方 对 
数据 项 ,发 起 者 身份 以 及 所 有 其 他 必需 的 信息 (如 时 间 戳 ) 产 生 一 个 数字 签名 ( 称 为 对 数据 的 
可 信 第 三 方 的 数字 签名 ) 。 这 个 签名 成 为 证 据 , 被 传送 给 接收 者 ,接收 者 对 其 验证 并 存储 。 
从 发 起 者 到 可 信 第 三 方 的 通信 要 求 对 完整 性 和 数据 起 源 的 认证 保护 ,使 得 可 信 第 三 方 
可 以 确信 它 签 了 一 个 具有 合法 价值 的 信息 。 从 可 信 第 三 方 回 到 发 起 者 的 通信 和 则 不 一 定 要 完 
整 性 保护 ,因为 发 起 者 有 机 会 在 传送 给 接收 者 时 自己 核实 数字 签名 。 

这 个 机 制 与 发 起 者 的 数字 签名 机 制 相 比 有 两 个 优点 : 一 个 优点 是 验证 常常 涉及 较 少 的 
密 钥 对 ,因此 减少 了 对 证 书 获得 .核实 和 储存 的 需求 ,一 组 数目 相对 少 的 签名 者 们 能 支持 发 
起 者 和 接收 者 的 大 量 通信 ,这 些 通信 为 验证 者 提供 了 更 大 的 潜力 去 保留 和 重用 被 证 明 过 的 
公 钥 ; 另 一 个 优点 是 取得 了 可 信 第 三 方 签名 可 以 认为 维持 了 一 个 可 信 的 时 间 源 ,时 间 戳 可 
包含 在 签名 里 头 ,这 就 为 接收 者 提供 了 一 个 发 起 者 的 确定 时 间 。 

作为 以 上 方案 的 一 个 变形 ,发 起 者 用 Hash 函数 生成 数据 项 的 摘要 ,将 摘要 发 送 给 可 信 
第 三 方 ,然后 可 信 第 三 方 对 摘要 ,发 起 者 身份 和 所 有 其 他 必需 的 信息 (如 时 间 戳 ) 产 生 一 个 数 
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字 签 名 ( 称 为 对 消息 摘要 的 可 信 第 三 方 的 数字 签名 ) 。 这 个 数字 签名 成 为 证 据 返 回 给 发 起 
者 ,然后 转发 给 接收 者 。 

用 数据 项 的 摘要 代替 数据 本 身 来 生成 签名 有 几 个 优点 : 采用 摘要 的 方法 减少 了 要 被 送 
到 可 信 第 三 方 的 数据 量 ; 它 能 够 保留 在 发 起 者 和 可 信 第 三 方 之 间 通 信和 的 原 数据 的 机 密 性 ， 
而 且 保留 在 可 信 第 三 方 的 系统 内 。 

如 果 存 在 发 起 者 使 用 多 种 不 同 Hash 函数 的 可 能 性 (而 且 这 是 个 合理 的 假定 ,因为 考虑 
到 合理 的 Hash 函数 定义 的 易 变 性 ) ,这 时 摘要 总 是 相当 于 一 个 特定 Hash 孔 数 的 明确 的 标 
识 符 就 显得 特别 重要 了 。 这 个 标识 符 必须 被 包括 在 可 信 第 三 方 签署 的 值 里 ,否则 会 存在 一 
个 有 争议 的 情况 ,发 起 者 产生 两 个 不 同 的 数据 项 ,用 两 个 不 同 的 Hash 函数 生成 同样 的 摘 
要 。 如 果 这 时 候 没有 将 摘要 和 Hash 函数 的 标识 符 安全 地 联系 在 一 起 , 则 签名 将 不 会 提供 
关于 在 该 特殊 情况 下 生成 的 数据 项 的 无 可 辩 驭 的 证 据 。 

3. 可 信 第 三 方 令 牌 

可 信 第 三 方 令 牌 是 可 选 的 可 信 第 三 方 签名 方案 ,签名 方案 用 对 称 密码 技术 代替 了 公 
钥 密码 技术 。 令 牌 类 似 于 一 个 签名 ,除非 它 没 有 被 签署 ,否则 用 一 个 对 称 算法 把 它 封装 
起 来 而 且 密 钥 只 让 可 信 第 三 方 知道 。 包 含 在 封装 计算 中 的 信息 包括 数据 项 或 其 摘要 、 发 
起 者 身份 和 其 他 需要 的 信息 (如 时 间 鹤 )。 令 牌 由 可 信 第 三 方 为 发 起 者 生成 ,传送 到 接收 
者 那里 。 与 前 面 方案 的 不 同 之 处 在 于 接收 者 不 能 直接 验证 令 牌 ,但 可 送 回 到 可 信 第 三 方 
处 验证 。 

发 起 者 与 可 信 第 三 方 之 间 , 以 及 接收 者 与 可 信 第 三 方 之 间 的 通信 交换 都 需要 完整 性 和 
数据 起 源 的 认证 保护 。 

4. 内 联 可 信 第 三 方 

另 一 种 机 制 包含 了 可 信 第 三 方 如 何 插入 到 发 起 者 和 接收 者 之 间 的 通信 线路 中 。 可 信 第 
三 方 可 用 多 种 方式 操作 ,最 简单 的 方式 如 图 2-16 所 示 。 可 信 第 三 方 只 是 简单 地 捕 提 和 储存 
足够 证 据 以 支持 解决 未 来 有 关 通 行 的 数据 的 起 源 的 争执 。 这 种 证 据 通常 包括 数据 的 副本 或 
摘要 ,发 起 者 身份 和 时 间 鹤 。 


1 1 
1 |[ 数据 | 一 | 数据 | ~| 数据 ~ 数据 上 一 | 数据 | | 


2-16 ”内 联 可 信 第 三 方 一 一 证 据 存储 


这 种 机 制 有 与 应 用 协议 字段 的 格式 不 冲突 的 优点 ,但 它 依赖 于 其 他 安全 服务 的 使 用 。 
特别 地 ,完整 性 和 数据 起 源 认证 服务 必须 应 用 在 发 起 者 与 可 信 第 三 方 以 及 可 信 第 三 方 与 接 
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收 者 的 通信 中 。 
另 一 种 内 联 可 信 第 三 方 如 图 2-17 所 示 。 在 这 里 ,可 信 第 三 方 生成 一 个 摘要 作为 证 据 转 
发 给 接收 者 用 于 验证 和 存储 。 它 类 似 于 较 早 时 描述 的 可 信 第 三 方 签 名 机 制 ,除了 在 发 起 者 
和 可 信 第 三 方 之 间 必 须 使 用 完整 性 和 数据 起 源 认证 服务 。 
发 起 者 可 信 第 三 方 


1 [到 所 [数据 [数据 | 一 | 签名 [数据 


图 2-17 内 联 可 信 第 三 方 一 一 证 据 转发 


5. 机 制 结合 

所 有 基于 数字 签名 的 机 制 都 可 以 增强 到 实现 多 方 签名 。 这 需要 使 用 每 一 个 独立 签名 或 
者 一 个 多 方 签名 ,例如 多 方 贡献 出 密 钥 的 一 部 分 以 产生 一 个 签名 。 这 些 方案 大 大 地 提高 了 
对 危及 密 钥 的 攻击 的 防御 能 力 ,还 减少 了 对 单方 的 依赖 。 

此 外 ,上 述 机 制 可 以 结合 起 来 。 例 如 被 产生 的 证 据 可 以 包括 发 起 者 的 签名 加 上 一 个 或 
多 个 可 信 第 三 方 的 签名 ,这 些 签 名 用 不 同 的 系统 产生 。 

6. 时 间 戳 

在 很 多 应 用 中 ,安全 时 间 截 为 数据 项 产生 ,此 外 可 以 安全 地 把 数据 项 和 发 起 者 联系 起 
来 。 时 间 惟 的 使 用 是 为 了 某 些 目 的 ,如 确定 电子 商务 文件 的 归档 时 间 。 此 外 ,安全 时 间 鹤 可 
以 作为 一 些 非 否 认 机 制 的 基本 要 求 。 例 如 ,在 一 个 简单 的 发 起 者 数字 签名 机 制 中 ,可 能 会 发 
生 由 于 发 起 者 故意 公开 密 钥 然后 鼓动 撤销 密 钥 从 而 导致 自己 以 前 的 签名 无 效 。 为 了 对 付 这 
种 攻击 ,就 需要 有 联合 签名 和 撤回 请 求 的 安全 时 间 戳 。 

时 间 戳 由 时 间 截 服务 生成 ,这 是 可 信 第 三 方 认可 的 ,可 以 提供 可 信 的 时 间 源 。 给 定 的 数 
据 项 的 时 间 戳 可 通过 时 间 戳 服务 添加 时 间 值 到 数据 项 或 其 摘要 中 ,然后 用 数字 签署 结果 获 
得 。 被 处 理 的 签名 作为 另 一 个 非 否 认证 据 。 时 间 戳 功能 可 和 另 一 个 非 否 认 签 名 功能 结合 ， 
如 一 个 可 信 第 三 方 可 以 同时 证 明 发 起 者 身份 和 准确 时 间 。 作 为 一 种 选择 ,一 个 专用 的 时 间 
蕉 服务 可 以 应 用 到 加 另 一 个 签名 到 证 据 上 的 情况 。 


2.5.3 传递 的 非 否认 

传递 的 非 否 认 关系 到 关于 是 否 某 一 特定 方 接受 到 一 个 特定 数据 项 的 潜在 的 争执 和 (或 ) 
关于 传递 发 生 时 间 的 争执 。 注 意 这 种 形式 的 非 否 认 没有 超越 传递 ,这 里 没 必要 暗含 接收 者 
阅读 数据 或 在 上 面 做 了 手脚 。 

在 这 种 形式 的 非 否 认 中 ,证 据 产 生 者 这 一 角色 包括 了 接收 者 , 某 些 情况 下 还 包括 一 个 或 
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多 个 可 信 第 三 方 。 服 务 请 求 者 包括 数据 产生 和 (或 ) 代 表 了 产生 者 利益 的 那些 实体 。 证 据 验 
证 者 包括 发 起 者 和 (或 ) 可 信 第 三 方 。 

证 据 需 要 能 无 可 辩 驶 地 将 各 种 信息 片段 联系 或 连接 起 来 ,至 少 包 括 : 接收 者 的 身份 ; 
@ 数 据 项 的 精确 值 。 某 些 情况 下 .还 有 其 他 信息 .例如 : @ 传 递 发 生 的 日 期 和 时 间 ; @ 发 起 
者 的 身份 ; 加 涉及 证 据 产 生 的 所 有 可 信 第 三 方 的 身份 。 提 供 传 递 的 非 否 认 的 方法 主要 有 以 
下 几 种 。 

1. 接收 者 签名 确认 

一 个 机 制 涉及 接收 者 产生 一 个 确认 信息 送 回 给 发 起 者 。 这 个 信息 是 包含 了 以 下 某 些 信 
息 的 一 个 数字 签名 : 四 被 传递 的 数据 项 的 副本 或 内 容 摘要 ; @ 其 他 需要 的 证 据 , 如 传递 
时 间 。 

签名 必须 由 接收 者 或 担保 接收 者 的 可 信 第 三 方 生成 。 图 2-18 描述 了 这 个 机 制 应 用 到 
接收 者 数字 签名 中 的 操作 。 


发 起 者 接收 者 
二 和 四 
上 1 1 
La 一 | 数据 + 数据 上 -| 人 ! 
1 1 
| (GD 接收 者 的 签名 接收 者 的 签名 | 1 [ 接收 理 | _「 接收 才 辣 了 | 
| 可 信 第 三 方 的 签名 | ! | 可 信 第 三 方 的 签名 | ! 上 的 签名 | | 的 签名 | | | 
| ”| 5 
| 数据 
! | 接收 者 的 签名 
1 | 可 信 第 三 方 的 签名 1 
' 可 信 第 三 方 的 签名 | ! 
i J 
1 厂 二 存储 可 信 第 三 方 
De ] 
图 2-18 ”使 用 接收 者 的 签名 的 传递 非 否认 
在 大 多 数 情 况 下 ,这 个 机 制 等 同 于 应 用 起 源 的 非 否 认 到 包含 必需 证 据 的 确认 信息 (除了 


它 不 需要 真 的 把 源 信息 或 其 摘要 送 回 发 起 者 )。 这 个 传递 的 非 否 认 机 制 中 有 关 证 书 和 密 钥 
撤销 的 条 件 起 源 的 非 否 认 中 的 相关 讨论 一 样 。 

2. 接收 者 令 牌 确认 

作为 上 面 方案 的 一 个 变 体 ,一 个 由 可 信 第 三 方 用 对 称 密码 技术 生成 的 令 牌 可 用 于 替换 
签名 。 像 起 源 的 非 否 认 方 案 可 信 第 三 方 令 牌 方案 一 样 , 令 牌 的 验证 (在 这 里 由 发 起 者 发 
行 ) 需 要 把 它 送 回 可 信 第 三 方 。 

3. 可 信 传 递 代 理 

上 面 的 机 制 存 在 的 一 个 问题 是 没有 防止 接收 者 在 看 了 被 传递 数据 内 容 后 而 不 去 确认 的 
保护 措施 。 可 通过 引进 一 个 可 信 第 三 方 作为 传递 代理 来 提供 这 样 一 种 基本 的 保护 措施 。 传 
递 代 理 介入 发 起 者 和 接收 者 的 通信 线路 中 ,与 接收 者 相当 的 近 。 发 起 者 发 送 数据 项 到 传递 
代理 处 , 申 它 用 一 个 类 似 于 前 面 所 说 的 基于 签名 的 机 制 来 确认 收 到 的 东西 。 通 常 ,传递 代理 
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直到 最 后 传递 到 接收 者 才 生 成 确认 。 然 而 ,在 某 些 情况 下 ,传递 代理 先 于 最 后 到 达 的 传递 生 
成 确认 ; 这 种 情况 下 传递 代理 假定 有 责任 确认 数据 项 被 传递 到 接收 者 。 这 种 可 信 传 递 代 理 
的 方法 类 似 于 使 用 一 个 警官 送 某 些 合法 文件 给 一 个 人 。 

4. 两 阶段 传递 

两 阶段 传递 是 针对 难 对 付 的 接收 者 问题 特别 设计 的 。 它 可 用 于 当 一 个 数据 项 从 发 起 者 
到 接收 者 或 从 可 信 代 理 传递 到 接收 者 的 时 候 ,这 里 不 妨 假设 它 是 从 发 起 者 到 接收 者 。 发 起 
者 首先 送 一 个 预 接收 消息 到 接收 者 ,该 消息 包括 数据 项 的 摘要 但 不 是 用 接收 者 可 以 解释 的 
形式 的 数据 项 。 接 收 者 用 一 个 读 接收 消息 回答 ,该 消息 包括 一 个 摘要 的 签名 副本 。 在 同 真 
正 的 数字 签名 比较 从 而 检验 该 消息 中 的 数字 签名 后 ,发 起 者 传送 整个 数据 项 。 接收 者 用 进 
一 步 签 名 过 的 确认 来 回答 ,与 用 于 基本 的 接收 者 的 签名 机 制 相同 。 

与 基本 的 接收 者 签名 机 制 相 比较 ,两 阶段 传递 机 制 的 优点 是 在 传送 读 取 接 收 消息 的 过 
程 中 ,接收 者 不 仅 确认 当前 通信 线路 的 运行 状态 ,而 且 回 复 关 于 含有 被 同意 的 摘要 的 数据 项 
的 最 后 收据 ,尽管 完整 的 数据 项 还 不 知道 。 虽 然 可 能 会 出 现在 预 接收 消息 送出 后 马上 出 现 
通信 和 失败 ,使 得 完整 的 数据 项 的 传递 耽搁 ,但 发 起 者 和 接收 者 平等 地 负责 数据 项 的 传递 。 在 
没有 预先 交换 的 情况 下 ,接收 者 会 不 顾 已 收 到 的 特定 数据 项 ,假装 发 生 不 确定 的 通信 和 失败。 

如 果 传 递 时 间 的 协调 是 重要 的 ,也 可 以 使 用 两 阶段 传递 程序 。 接 收 者 在 那个 签署 过 的 
读 接 收 消息 中 包括 了 他 当前 的 时 间 值 。 发 起 方 可 以 检查 该 值 是 否 合理 ,可 以 在 传送 完整 数 
据 项 之 前 记录 下 来 作为 证 据 。 

5. 渐进 的 传递 报告 

很 多 分 布 式 通 信 应 用 程序 ,如 电子 邮件 和 EDI, 涉 及 经 过 很 多 不 同 的 管理 区 域 转发 数据 
项 。 那 些 应 用 程序 要 冒 中 途 丢 失 数 据 项 的 风险 ,而 且 不 能 确认 丢失 在 哪个 特定 的 某 方 或 区 
域 。 因 此 ,可 以 协定 当 消 息 经 过 它 的 路 径 时 应 用 多 点 传递 的 非 否 认 , 如 在 进入 一 个 不 同 的 管 
理 区 域 的 每 个 入 口 点 处 。 


2.6 可 用 性 


可 用 性 使 已 经 授权 的 用 户 ( 或 计算 机 系统 ) 可 以 在 不 受 干 涉 和 阻碍 的 情况 下 访问 信息 ， 
并 按 所 需 的 格式 接受 它 。 可 用 性 要 求 无 论 何 时 ,只 要 用 户 需 要 ,信息 系统 必须 是 可 用 的 ,也 
就 是 说 信息 系统 不 能 拒绝 服务 。 网 络 最 基本 的 功能 是 向 用 户 提 供 所 需 的 信息 和 通信 服务 ， 
而 用 户 的 通信 和 是 随机 的 、 多 方面 的 (语音 ,数据 ,文字 和 图 像 等 ), 有 时 还 要 求 时 效 性 。 网 络 必 
须 随 时 满足 用 户 通信 的 要 求 。 攻 击 者 通常 采用 占用 资源 的 手段 阻碍 授权 者 的 工作 。 可 以 使 
访问 控制 机 制 ,阻止 非 授 权 用 户 进 入 网 络 , 从 而 保证 网 络 系统 的 可 用 性 。 增 强 可 用 性 还 包 
括 如 何 有 效 地 避免 因 各 种 灾害 (战争 、 地 震 等 ) 造 成 的 系统 损失 。 

Aura 与 Nikander 建议 使 用 无 状态 连接 (stateless connection) 抵抗 连接 损耗 (connection 
depletion) 攻 击 。 他 们 让 客户 端 存 储 服 务 器 要 求 的 所 有 状态 信息 ,并 且 在 每 次 消息 发 送 时 必 
须 返 回 给 服务 器 。 此 时 ,服务 器 不 需要 存储 任何 状态 信息 。 但 是 返回 给 服务 器 的 状态 信息 
必须 被 服务 器 验证 是 真实 的 ,而 且 状 态 信 息 必须 保密 。 因 此 ,通信 协议 (提供 无 状态 连接 ) 会 
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产生 一 个 包含 通信 和 计算 量 的 总 开销 。 一 个 实际 的 在 服务 器 的 端 延 迟 状 态 需 要 的 机 制 是 
cookies 的 使 用 。 

为 了 抵抗 连接 损耗 攻击 ,Meadows 建议 协议 中 的 每 个 消息 必须 认证 。 然 而 ,为 了 尽 可 
能 减少 计算 量 ,协议 开始 时 认证 比较 弱 , 随 着 交换 消息 的 增加 ,认证 强度 增 大 。Cookies 是 
由 服务 器 端 形成 的 ,必须 通过 客户 端 返 回 ,形成 的 认证 可 能 较 弱 。Meadows 还 在 Gong 和 
Syverson 的 失败 -停止 协议 的 基础 上 .提出 了 一 个 形式 化 的 框架 。 

Juels 和 Brainard 给 出 了 一 个 机 制 来 提供 较 强 的 认证 ( 强 于 cookies 提供 的 认证 ), 称 为 
客户 难题 (client puzzles)。 他 们 认为 , 当 服 务 器 端的 负载 变 高 时 ,服务 器 端 将 发 送 一 个 中 等 
计算 难度 的 “puzzle” 给 每 个 用 户 , 这 个 puzzle 必须 在 一 个 新 的 连接 形成 之 前 得 到 解决 。 这 
个 要 求 不 会 对 真实 用 户 造成 很 大 的 困扰 ,但 是 对 于 试图 建立 多 次 连接 的 攻击 者 而 言 ,将 需要 
解决 很 多 难题 Cpuzzles) 。 

可 用 性 服务 即 按照 授权 实体 的 要 求 有 可 被 访问 和 可 被 使 用 的 性 质 . 也 叫做 服务 保障 。 
为 了 确保 数据 的 可 用 性 ,系统 必须 同时 利用 防御 机 制 和 恢复 机 制 。 网 络 环境 下 的 可 用 性 不 
仅 包括 用 户 可 访问 用 户 代理 和 服务 器 等 硬件 和 软件 资源 ,还 包括 用 户 有 能 力 获 得 所 期 望 的 
使 用 具有 合理 吞吐 量 的 网 络 带 宽 等 服务 质量 (QoS)。 网 络 流量 必须 能 穿 过 局 域 和 广域网 按 
要 求 到 达 预 期 目的 地 。 应 用 程序 和 数据 的 可 用 性 与 信息 系统 的 安全 密切 相关 。 不 可 访问 的 
数据 就 等 于 不 存在 ,不 能 工作 的 应 用 程序 也 是 毫 无 用 处 的 。 

保证 可 用 性 的 最 有 效 的 方法 之 一 是 提供 一 个 具有 通用 安全 服务 的 安全 网 络 环境 。 操 作 
系统 和 应 用 程序 应 该 具有 一 定 的 抗 故障 能 力 。 通 过 使 用 访问 控制 阻止 未 授权 资源 访问 ,并 
利用 完整 性 和 保密 性 服务 避免 数据 泄露 或 被 修改 ,并 可 以 防止 可 用 性 攻击 。 访 问 控制 .完整 
性 和 保密 性 成 为 协助 支持 可 用 性 安全 服务 的 机 制 。 

可 用 性 问题 的 解决 方案 包括 以 下 四 种 。 

(1) 避免 受到 攻击 一 些 基 于 信息 系统 的 攻击 旨 在 破坏 、 降 级 或 摧毁 网 络 资源 。 解 
决 办 法 是 加 强 这 些 资源 的 安全 使 其 不 受 攻击 。 免 受 攻击 的 方法 包括 : 关闭 操作 系统 和 网 络 
配置 中 的 安全 漏洞 ; 控制 授权 实体 对 资源 的 访问 ; 限制 对 手 操 作 或 浏览 流 经 或 流向 这 些 资 
源 的 数据 从 而 防止 插入 病毒 等 有 害 数据 ; 防止 路 由 表 等 敏感 网 络 数据 的 泄露 。 

(2) 避免 未 授权 使 用 一 一 当 资 源 被 使 用 、 占 用 ,或 过 载 时 ,其 可 用 性 会 受到 限制 。 如 果 
未 授权 用 户 占 用 了 有 限 的 处 理 能 力 、 网 络 带 宽 .调制 解 调 器 连接 等 资源 , 则 这 一 资源 对 授权 
用 户 就 是 不 可 用 的 。 对 这 些 资源 使 用 者 的 标识 和 鉴别 可 以 提供 访问 控制 来 限制 未 授权 使 
用 。 然 而 ,过 度 频 繁 地 发 出 标识 和 鉴别 请 求 可 能 导致 网 络 运行 减 慢 或 停止 。 

(3) 防止 例 程 Crutine) 失 败 一 一 正常 的 操作 失误 和 自然 行为 也 可 能 导致 系统 可 用 性 降 
低 。 解 决 方法 包括 使 用 具有 高 可 靠 性 的 设备 .提供 设备 元 余 和 提供 多 路 径 的 网 络 连接 。 

(4) 加 强 元 余 和 数据 恢复 机 制 一 一 包括 旁 路 信道 .数据 备份 通道 和 实时 热 备 等 能 力 的 
信息 存储 和 流动 的 元 余 是 必需 的 ,以 绕 过 任何 有 问题 的 区 域 , 并 保证 数据 不 会 因为 密 钥 或 者 
存储 介质 等 的 损坏 而 无 法 使 用 。 

可 信 操 作 系统 的 思想 也 可 用 于 限制 信息 系统 攻击 的 有 害 影 响 。 通 过 抑制 恶意 代码 造成 
的 损失 和 保证 其 他 安全 机 制 的 适当 操作 ,可 信 操 作 系 统 便 能 保证 可 用 性 。 可 信 操 作 系 统 显 
现 的 另 一 特征 是 操作 的 完整 性 。 它 确保 在 终端 系统 中 执行 的 进程 能 够 提供 一 致 的 、 可 重复 
的 结果 ,而 且 该 结果 不 受 未 授权 访问 的 影响 。 
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关键 的 系统 组 件 必 须 提供 物理 安全 保证 ,不 仅 要 避免 遭 到 攻击 和 资源 滥用 ,还 要 保证 平 
台 和 应 用 程序 不 被 修改 ,因为 通过 某 些 修改 可 以 绕 过 那些 提供 可 用 性 的 安全 服务 调用 。 


2.7 安全 审计 和 报警 


安全 审计 和 报警 服务 ,与 其 他 安全 服务 的 不 同 之 处 在 于 没有 单个 的 特定 安全 机 制 可 以 
直接 用 来 提供 这 种 服务 。 审 计 机 制 也 许可 以 特征 化 为 基于 大 量 管理 和 操作 方法 的 处 理 
过 程 。 


2.7.1 安全 审计 


系统 安全 审计 是 指 对 安全 活动 进行 识别 记录、 存储 和 分 析 , 以 查证 是 否 发 生 安全 事件 
的 一 种 信息 安全 技术 。 安 全 审计 为 安全 管理 人 员 提 供 可 进行 分 析 的 管理 数据 ,以 发 现在 何 
处 发 生 了 违反 安全 方案 的 事件 。 利 用 安全 审计 结果 可 以 调整 安全 政策 修补 系统 漏洞 。 

安全 审计 是 对 系统 记录 和 活动 的 独立 评估 考核, 它 测试 系统 控制 的 充分 性 ,确保 与 既 
定 策略 和 操作 规程 相 一 致 ,有 助 于 对 入 侵 进行 评估 ,并 指出 控制 .策略 和 程序 的 变化 。 安 全 
审计 跟踪 是 一 种 很 有 价值 的 安全 管理 机 制 ,可 通过 事后 的 安全 审计 来 检测 和 调查 安全 策略 
执行 的 情况 以 及 安全 遭 到 的 破坏 情况 。 

安全 审计 应 该 具备 以 下 功能 : 

(1) 记录 关键 事件 。 由 安全 管理 人 员 定 义 违反 安 全 策略 的 事件 ,并 决定 将 什么 信息 记 
人 审计 日 志 。 

(2) 提供 可 集中 处 理 审计 日 志 的 数据 形式 。 以 标准 的 .可 使 用 的 格式 输出 安全 审计 信 
息 ,使 安全 管理 人 员 能 够 直接 利用 软件 工具 处 理 这 些 事件 。 

(3) 提供 易于 使 用 的 软件 工具 。 为 了 能 立即 发 现 违反 安全 规定 的 事件 ,要 为 安全 管理 
人 员 提 供 一 套 易于 使 用 的 基本 分 析 工 具 。 

(4) 实时 安全 报警 。 扩 展现 有 管理 工作 的 能 力 , 并 将 它们 与 数据 链 路 驱动 程序 和 本 地 
审计 能 力 结合 起 来 , 当 发 生 与 安全 有 关 的 事件 时 ,安全 管理 人 员 就 会 接 到 报警 。 

可 以 看 出 ,安全 审计 的 主要 功能 是 记录 和 跟踪 信息 系统 状态 的 变化 以 及 安全 相关 的 事 
件 ,如 用 户 的 活动 等 ,并 对 程序 和 文件 的 使 用 情况 进行 监控 ,记录 对 程序 和 文件 的 使 用 以 及 
对 文件 的 处 理 过 程 。 

安全 审计 是 系统 记录 和 活动 的 独立 检查 和 验证 。 安 全 审计 的 目的 包括 : 

(1) 辅助 辨识 和 分 析 未 经 授权 的 活动 或 攻击 ; 

(2) 帮助 保证 和 相应 实体 对 非 授 权 活 动 进行 相应 处 理 ; 

(3) 促进 开发 改进 的 损伤 控制 处 理 程序 ; 

(4) 评估 与 已 建立 的 安全 策略 的 一 致 性 ; 

(5) 报告 那些 可 能 与 系统 控制 不 相 适 应 的 信息 ; 

(6) 辨识 可 能 需要 的 对 控制 .策略 和 处 理 程序 的 改变 。 

审计 日 志 是 记录 信息 系统 安全 状态 和 问题 的 依据 ,日 志 管 理 是 确保 记录 长 期 稳定 和 有 
用 的 过 程 。 
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1) 日 志 的 内 容 

基于 安全 观点 考虑 ,理想 的 日 志 应 该 包括 全 部 与 数据 ,程序 以 及 系统 资源 相关 事件 的 记 
录 。 实 际 上 ,这 样 的 日 志 只 能 适用 于 某 些 有 特殊 需要 的 系统 ,因为 它 所 付出 的 代价 太 大 ,所 
以 ,最 好 根据 系统 的 安全 目标 和 操作 环境 单独 设计 日 志 。 

在 决定 日 志 记 录 什 么 内 容 时 ,要 充分 考虑 安全 需求 ,需求 应 该 以 明确 的 条 目 加 以 说 明 ， 
包括 何 种 类 型 的 数据 需要 保护 ,系统 怎样 识别 这 些 数据 ,各 类 数据 准确 程度 的 必要 性 , 谁 可 
以 存 取保 护 数据 以 及 系统 如 何 识 别 授权 用 户 ,等 等 。 

日 志 作 为 对 系统 实行 强制 性 安全 措施 的 综合 研究 对 象 , 内 容 应 该 包括 记录 的 信息 类 型 、 
应 用 的 参数 .所 做 的 分 析 .产生 的 报告 和 数据 的 保留 期 。 

2) 日 志 的 作用 

当 存 在 非法 使 用 系统 的 行为 时 ,日 志 可 以 为 调查 处 理工 作 提供 有 效 的 证 明 。 日 志 还 可 
以 作为 责任 认定 的 依据 , 当 发 生 责任 纠纷 时 ,查阅 日 志 不 失 为 一 种 好 的 方法 。 另 外 ,日 志 作 
为 系统 运行 记录 的 集合 ,对 分 析 系 统 和 运行 情况 .排除 故障 和 提高 效率 都 会 起 到 很 好 的 帮助 
作用 。 

3) 日 志 的 管理 

日 志 管 理 最 典型 的 方法 是 日 志 转 储 , 即 将 旧 的 .已 写 满 的 日 志文 件 转 存 到 男 一 边 , 用 新 
的 空 日 志文 件 占用 它们 的 位 置 。 正 确 转 储 日 志 以 后 ,还 必须 注意 备份 ,并 提供 查询 和 检索 
功能 。 


2.7.2 安全 报警 


鉴别 .访问 控制 .机 密 性 和 完整 性 等 这 些 安全 服务 都 是 对 信息 系统 的 被 动 防御 。 但 是 ， 
不 能 担保 这 些 服务 总 能 正常 运行 。 由 于 不 合适 的 保护 机 制 或 保护 机 制 中 的 故障 ,可 能 会 产 
生 新 的 攻击 或 这 些 安全 机 制 本 身 不 能 解决 的 情况 (例如 密码 被 盗 ), 所 以 系统 总 会 有 安全 泄 
密 的 风险 。 因 此 ,需要 有 一 个 方法 能 够 检测 出 安全 的 泄露 或 有 可 疑 的 事件 发 生 ,并 将 这 些 情 
况 报 告 给 操作 员 或 管理 员 。 安 全 报警 是 指 用 户 或 进程 发 出 的 警告 ,以 指示 发 生 了 情况 ,可 能 
需要 及 时 采取 行动 。 安 全 报警 的 目的 包括 : 

(1) 报告 实际 的 或 明显 的 违背 安全 的 企图 ; 

(2) 报告 各 种 与 安全 相关 的 事件 ; 

(3) 报告 到 达 一 定 门 限 ( 阅 值 ) 后 触发 产生 的 事件 。 

一 个 与 安全 相关 的 事件 会 触发 一 个 安全 警报 ,从 原理 上 讲 , 任 何 网 络 或 系统 部 件 都 能 够 检 
测 出 该 事件 。 在 管理 模型 中 ,检测 事件 的 部 件 是 受 管 对 象 。 安 全 报警 通过 M-EVENT- 
REPORT 通知 给 管理 系统 ,如 图 2-19 所 示 。 

安全 报警 报告 功能 标准 (ISO/IEC 10164-1) 描 述 了 M-EVENT-REPORT 调用 中 所 传 
递 的 信息 。 受 管 信息 定义 (ISO/IEC 101652) 中 详细 说 明了 交换 中 所 使 用 的 正确 抽象 

安全 报警 报告 中 传递 的 参数 分 为 三 类 : 

(1) 在 ISO/IEC 9595 中 定义 了 所 有 的 M-EVENT-REPORT 中 通用 的 参数 ,包括 调用 
标识 符 、 模 式 、 受 管 对 象 类 受 管 对 象 事例 .事件 类 型 .事件 时 间 和 当前 时 间 等 。 

(2) 在 ISO/IEC 10164-4 中 定义 了 所 有 管理 警报 通用 的 参数 ,包括 通知 标识 符 、 相 关 的 
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事件 类 型 
安全 报警 产生 检测 事件 受 管 对 象 
安全 报警 


M-EVENT-REPORT 通 知 | 


O O 
管理 系统 Oo0 


图 2-19 安全 警报 报告 过 程 


通知 、 额 外 的 信息 和 额外 的 文本 等 。 

(3) 安全 报警 特有 的 参数 ,包括 安全 报警 原因 安全 警报 的 严重 性 、 安 全 报警 检测 器 ,使 
用 服务 的 用 户 和 服务 的 提供 者 等 。 

事件 类 型 和 安全 报警 原因 的 组 合 表明 了 警报 的 原因 ,其 可 能 的 组 合 有 以 下 几 种 。 

(1) 完整 性 破坏 : 指出 未 授权 的 修改 、 插 入 或 删除 数据 的 事件 。 安 全 报警 原因 的 可 能 
值 是 : 复制 信息 、 信 息 的 丢失 、 信 息 修改 的 检测 ,顺序 混乱 的 信息 和 不 希望 的 信息 。 

(2) 违规 操作 : 指明 不 能 获得 的 信息 、 违 法 行为 或 一 些 服 务 的 不 正确 调用 事件 。 安 全 
报警 原因 的 可 能 值 是 : 拒绝 服务 (故意 阻止 服务 的 合法 使 用 ) 、 超 出 服务 、 过 程 出 错 和 未 陈述 
原因 。 

(3) 物理 侵入 : 指明 对 物理 资源 有 可 疑 攻击 的 事件 。 安 全 报警 原因 的 可 能 值 是 : 损害 
电缆 (对 通信 介质 的 物理 破坏 )、 入 侵 检测 (非法 进入 某 个 站 点 或 损害 设备 ) 和 未 陈述 原因 。 

(4) 安全 服务 或 机 制 的 侵犯 : 指明 一 个 安全 服务 机 制 或 机 制 检 测 到 潜在 的 攻击 事件 。 
安全 报警 原因 的 可 能 值 是 : 鉴别 失败 、 破 坏 机 密 性 、 抗 抵赖 的 失败 、 未 授权 的 访问 企图 和 未 
陈述 原因 。 

(5) 时 间 区 域 的 侵犯 : 指明 在 不 希望 的 或 禁止 的 时 间 里 发 生 某 些 事 的 事件 。 安 全 报警 
原因 的 可 能 值 是 : 延迟 的 信息 ( 接 到 信息 的 时 间 比 预定 时 间 要 晚 )、 密 钥 过 期 (使 用 过 期 的 密 
钥 ) 和 上 班 时 间 外 的 活动 (在 不 希望 的 时 间 里 使 用 资源 )。 

安全 报警 的 安全 参数 指明 了 由 初始 受 管 客体 发 觉 的 警报 的 意义 ,可 能 值 有 以 下 几 个 。 

(1) 不 确定 : 系统 的 完整 性 是 未 知 的 。 

(2) 危险 : 安全 性 被 损害 危及 到 系统 的 安全 。 系 统 可 能 不 能 再 正常 运转 来 支持 安全 策 
咯 。 例 如 ,未 授权 的 修改 或 泄漏 与 安全 有 关 的 敏感 信息 ,如 系统 密码 或 违反 物理 安全 等 。 

(3) 主要 : 检测 到 违反 安全 ,并 且 重 要 的 信息 或 机 制 已 经 遭 到 损害 。 

(4) 次 要 : 检测 到 违反 安全 ,并 且 不 太 重要 的 信息 或 机 制 已 经 遭 到 损害 。 

(5) 警告 : 不 相信 系统 的 安全 性 受到 威胁 。 

安全 报警 检测 器 参数 是 标识 检测 警报 条 件 的 实体 ; 使 用 服务 的 用 户 参 数 标识 那些 请 求 
服务 从 而 导致 警报 发 生 的 实体 ; 服务 提供 者 参数 标识 那些 提供 服务 从 而 导致 警报 发 生 的 
实体 。 
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oo ~ 中 四 本 


习题 2 


. 常见 的 认证 技术 有 哪些 ? 
. 访问 控制 列表 的 基本 特征 是 什么 ? 
. 简单 描述 一 下 基本 的 访问 控制 策略 的 方案 。 


什么 是 Bell-Lapadula 安全 模型 和 Biba 安全 模型 ? 


. 如 何 实现 机 密 性 保护 ?如 何 实现 完整 性 保护 ? 
. 简单 描述 一 下 不 可 否认 服务 的 实现 过 程 。 

. 安全 审计 有 哪些 功能 ? 

. 说 明 安全 报警 的 报告 过 程 。 


第 3 章 操作 系统 安全 


操作 系统 是 提供 对 各 种 硬件 资源 访问 权限 的 软件 ,没有 安全 的 操作 系统 就 没有 安全 的 
信息 系统 ,操作 系统 安全 是 信息 系统 安全 的 基础 。 


3.1 保护 对 象 和 保护 方法 


多 程序 的 出 现 意 味 着 计算 机 系统 的 内 存 、 输 入 /输出 设备 (如 硬盘 、 打 印 机 和 磁带 装置 ) 、 
共享 程序 和 子 程 序 、 网 络 ,共享 的 数据 等 都 需要 被 保护 。 操 作 系 统 使 用 一 些 安全 机 制 来 加 强 
对 这 些 对 象 的 保护 ,许多 操作 系统 的 保护 机 制 由 硬件 来 提供 。 

保护 的 基础 是 分 离 ,使 得 一 个 用 户 的 对 象 与 其 他 用 户 的 对 象 相 分 离 。 操 作 系 统 中 的 分 
离 可 以 通过 下 面 这 些 方 法 实现 : 

(1) 物理 分 离 ,此 时 不 同 的 用 户 使 用 不 同 的 物理 对 象 ,比如 根据 输出 数据 的 安全 等 级 的 
不 同 分 离 打 印 机 ,这 样 提 供 了 很 强 形式 的 分 离 ,但 不 现实 。 

(2) 时 间 分 离 ,要 求 不 同 的 进程 在 不 同时 间 执 行 ,避免 了 并 发 带 来 的 许多 问题 。 

(3) 逻辑 分 离 ,逻辑 分 离 通过 沙 箱 实现 ,每 个 进程 在 各 自 的 沙 箱 内 运行 ,进程 在 它 的 沙 
箱 内 可 做 任意 的 事情 ,但 限制 它 在 沙 箱 外 的 行为 。 沙 箱 是 一 种 按照 安全 策略 限制 程序 行为 
的 执行 环境 。 早 期 主要 用 于 测试 可 疑 软 件 等 ,比如 黑客 们 为 了 试用 某 种 病毒 或 者 不 安全 产 
品 ,往往 可 以 将 它们 在 沙 箱 环境 中 运行 。 

(4) 加 密 分 离 , 此 时 进程 加 密 他 们 的 数据 和 计算 ,使 得 外 部 进程 很 难 理解 它们 。 

当然 ,分 离 形 式 的 相互 组 合 也 是 可 能 的 。 

分 离 的 种 类 是 按照 实现 复杂 性 递增 的 顺序 列 出 的 ,前 三 个 又 是 按 所 提供 的 安全 性 的 递 
减 顺 序 排 列 的 。 尽 管 如 此 ,前 两 种 方法 很 严格 , 且 导 致 资源 利用 率 不 高 。 因 此 ,希望 将 保护 
的 负担 转移 给 操作 系统 ,从 而 允许 安全 需求 不 同 的 进程 并 发 执行 。 分 离 只 解决 了 一 半 问 题 。 
我 们 想 分 离 用 户 和 他 们 的 对 象 ,但 是 也 希望 那些 对 象 中 的 一 部 分 提供 共享 。 比 如 ,两 个 不 同 
安全 等 级 的 用 户 想 要 调用 相同 的 搜索 算法 或 函数 。 同 时 希望 这 两 个 用 户 能 够 共享 算法 和 活 
数 而 不 放弃 他 们 自己 的 安全 和 需求。 操作 系统 能 够 以 多 种 方式 支持 分 离 和 共享 ,提供 不 同安 
全 级 别 的 安全 。 

(1) 无 保护 。 当 敏感 程序 不 同时 运行 时 ,操作 系统 不 提供 保护 也 是 可 以 的 。 

(2) 隔离 。 当 操作 系统 提供 隔离 时 ,同时 运行 的 不 同 进 程 不 会 感觉 到 彼此 的 存在 。 每 
个 进程 有 它 自己 的 地 址 空间 、 文 件 和 其 他 对 象 。 操 作 系 统 必须 以 某 种 方式 限制 每 个 进程 ,这 
样 每 个 进程 的 对 象 是 完全 被 隐藏 的 。 

(3) 共享 所 有 或 无 共享 。 如 果 是 这 种 形式 的 保护 ,那么 对 象 的 所 有 者 宣布 它 是 公开 的 
还 是 私有 的 。 一 个 公开 的 对 象 对 所 有 的 用 户 可 用 ,相反 一 个 私有 的 对 象 仅 对 它 的 所 有 者 
可 用 。 
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(4) 基于 访问 限制 的 共享 。 使 用 访问 限制 ,操作 系统 检查 每 个 用 户 对 一 个 对 象 的 访问 
权 , 即 对 具体 的 用 户 和 对 象 实施 访问 控制 。 操 作 系统 决定 一 个 特殊 的 用 户 是 否 能 够 访问 一 
个 特殊 的 对 象 。 

(5) 基于 能 力 的 共享 。 基 于 能 力 的 共享 是 对 基于 访问 限制 的 共享 的 扩展 。 这 种 形式 的 
保护 允许 对 象 共 享 权 限 的 动态 创建 。 共 享 的 程度 取决 于 主体 的 所 有 者 ,计算 的 上 下 文 , 或 者 
对 象 自 身 。 

(6) 对 象 的 限制 使 用 。 这 种 形式 的 保护 不 仅 限制 对 象 的 访问 权限 ,还 限制 对 象 被 访问 
后 的 使 用 。 比 如 ,用 户 可 能 被 允许 查看 一 个 敏感 文件 ,但 是 不 允许 打印 这 个 文件 的 复 本 。 更 
有 其 者 ,可 能 允许 用 户 访问 数据 库 中 的 数据 ,从 而 得 到 统计 摘要 (比如 某 一 个 特定 阶层 的 平 
均 收入 ), 但 是 不 能 获知 具体 的 数据 值 (每 个 人 的 收入 )。 

这 六 种 共享 模式 是 按照 实现 的 难 易 程度 的 递增 顺序 排列 的 ,它们 提供 的 保护 的 程度 逐 
渐 增强 。 一 个 操作 系统 可 能 对 不 同 的 对 象 . 用 户 或 者 状态 提供 不 同 级 别 的 保护 。 

对 于 数据 而 言 ,访问 权限 可 以 控制 在 不 同等 级 : 位 、 字 节 、 元 素 或 字 、 域 记录、 文件 集 。 
这 样 ,就 出 现 了 控制 粒度 的 概念 。 对 象 控制 的 等 级 越 高 ,访问 控制 的 实施 越 容易 。 然 而 ,有 
时 操作 系统 必须 允许 的 访问 远 多 于 用 户 的 需要 。 比 如 ,对 于 大 的 对 象 ,必须 授权 给 仅 需 要 访 
问 对 象 的 一 部 分 的 用 户 ( 如 文件 中 的 单个 记录 ) 整 个 对 象 ( 整 个 文件 ) 的 访问 权限 。 


3.2 内 存 与 地 址 保护 


3.2.1 电子 篇 多 


多 程序 最 明显 的 问题 是 阻止 一 个 程序 影响 其 他 用 户 内 存 空间 中 的 数据 和 程序 。 

内 存 保护 的 最 简单 的 形式 是 单个 用 户 操作 系统 中 防止 一 个 错误 的 用 户 程序 破坏 操作 系 
统 的 固有 部 分 。 正 如 它 的 名 字 ,篇 和 钨 是 限制 用 户 到 边界 的 一 边 的 方法 。 

执行 过 程 中 ,电子 篱 钨 是 预先 规定 的 内 存 地 址 , 它 使 得 操作 系统 在 一 边 , 用 户 在 另 一 边 ， 
图 3-1 是 这 种 情况 的 一 个 例子 。 不 幸 的 是 ,这 种 执行 很 严格 ,因为 预先 规定 的 空间 值 总 是 为 
操作 系统 保留 的 而 不 管 操作 系统 是 否 需 要 。 如 果 要 求 的 比 预先 规定 的 空间 小 ,那么 多 余 的 
空间 就 会 被 浪费 。 相 反 , 如 果 操 作 系统 需要 更 


多 的 空间 ,那么 它 的 增加 不 能 超过 篇 多 的 界限 。 人 ne 
另 一 种 实现 方案 是 使 用 硬件 寄存 器 ,通常 和 

称 为 篇 多 寄存 器 (fence register) ,包含 操作 系 ”硬件 地 址 限制 | 操作 系统 

统 的 终端 地 址 。 与 固定 的 算 笛 相 比 ,这 个 方案 TS 

中 往 信 的 位 置 能 够 修改 。 每 次 一 个 用 户 程序 为 a 

数据 修改 产生 一 个 地 址 ,这 个 地 址 自动 与 往 匈 寄 t 届 汉 得 记 入 

存 器 的 内 容 相 比较 。 如 果 这 个 地 址 大 于 篇 仿 寄 地 址 序列 ! 

存 器 地 址 ( 即 用 户 区 域 ), 那 么 执行 指令 ; 如果 小 


于 篱 和 爷 寄 存 器 地 址 ( 即 操作 系统 的 区 域 ), 那 么 出 
现 错误 状态 。 篇 爷 寄 存 器 的 使 用 如 图 3-2 所 示 。 图 3-1 固定 的 篇 多 
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地 址 限制 寄存 器 地 址 限制 寄存 器 
ntl p+l1 
地 址 内 存 地 址 内 存 
0 [| 0 
操作 系统 操作 系统 
版 本 1 版 本 2 
. p 
i i 
t 用 户 程序 空间 人 用 户 程序 空间 
地 址 序列 已 程 夺 空 户 程序 空 | 
| 
High High 


3-2 ”可 变 的 篇 斧 寄 存 器 


篱 箔 寄存 器 的 保护 仅 是 一 个 方面 。 换 句 话 说 ,篇 多 寄存 器 能 保护 操作 系统 不 受用 户 程 
序 的 侵扰 ,但 不 能 保护 一 个 用 户 程序 不 被 男 一 个 用 户 程 序 侵 扰 。 相 似 地 ,用 户 不 能 鉴别 程序 
的 某 个 区 域 能 否 被 访问 (如 程序 本 身 的 代码 或 只 读 的 数据 区 域 )。 


3.2.2 重 定位 


如 果 能 够 使 得 一 个 操作 系统 有 固定 的 大 小 ,那么 程序 员 便 可 以 写 入 他 们 的 代码 ,这 里 假 
设 程序 开始 于 一 个 常量 地 址 。 操 作 系 统 的 这 个 特征 使 得 它 很 容易 确定 程序 中 任何 对 象 的 地 
址 。 然 而 ,这 也 使 得 不 可 能 改变 初始 地 址 ,比如 ,操作 系统 的 一 个 新 版 本 比 旧版 本 大 或 小 。 
如 果 操 作 系统 的 大 小 允许 改变 ,那么 程序 必须 以 一 种 方式 写 入 , 且 这 种 方式 不 依赖 于 内 存 中 
具体 地 址 的 分 配 。 

重 定位 是 将 一 个 程序 从 地 址 0 开始 写 入 的 过 程 , 它 改 变 所 有 的 地 址 来 反映 实际 的 地 址 
(程序 在 内 存 中 的 地 址 )。 在 许多 例子 中 ,这 样 做 仅仅 是 为 程序 的 每 个 地 址 增加 了 一 个 常量 
重 定位 因子 , 即 重 定位 因子 是 分 配给 程序 的 内 存 的 开始 地 址 。 

一 般 地 ,在 这 种 情形 下 使 用 篇 钨 寄存 器 可 以 有 更 多 的 好 处 : 篇 秃 寄 存 器 可 以 是 一 个 硬 
件 重 定位 设备 。 将 栅栏 寄存 器 的 内 容 添加 到 每 个 程序 地 址 。 这 个 过 程 不 仅 可 以 实现 重 定位 
功能 ,也 保证 了 没有 人 能 够 访问 比 计数 器 值 更 小 的 地 址 。 这 是 因为 地 址 是 一 个 无 符号 整数 ， 
对 任何 数 增加 篇 爷 寄 存 器 的 值 都 能 够 保证 产生 的 结果 等 于 或 高 于 篇 管 地 址 。 当 合法 程序 访 
问 操作 系统 的 某 个 地 址 时 ,相应 的 指令 会 被 添加 进去 。 


3.2.3 基 / 界 寄存 器 


使 用 篇 管 寄存 器 的 操作 系统 的 主要 优点 是 可 以 进行 重 定位 ,这 个 特征 在 多 用 户 环境 中 
显得 尤其 重要 。 对 于 两 个 或 更 多 的 用 户 , 没 有 人 能 够 事先 知道 执行 程序 在 哪里 被 载 和 人。 重 
定位 寄存 器 解决 了 这 个 问题 , 它 提供 一 个 基 ( 或 开始 ) 地 址 ,所 有 的 程序 内 部 地 址 与 基地 址 抵 
消 。 可 变 往 管 寄存 器 一 般 也 称 为 基 寄 存 器 (base register) 。 

管 笛 寄 存 器 提供 下 界 ( 起 始 地 址 ) 但 不 提供 上 界 。 上 界 对 于 知道 空间 大 小 和 检查 溢出 
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(进入 "禁止 > 区域) 方面 很 有 有 用。 为 了 克服 这 个 困难 ,常常 添加 第 二 个 寄存 器 ,如 图 3-3 所 
示 。 这 第 二 个 寄存 器 ,也 称 为 界 寄 存 器 (bounds register) ,是 地 址 限制 的 上 界 , 同 理 , 基 或 篇 
笛 寄 存 器 是 地 址 限制 的 下 界 。 每 个 程序 地 址 必须 在 基地 址 之 上 ,因为 基 寄 存 器 的 内 容 被 加 
入 了 地 址 ; 检查 每 个 地 址 保证 它们 在 界 地 址 内 。 通 过 这 种 方式 ,程序 的 地 址 空间 在 基 寄 存 
器 和 界 寄存 器 之 间 。 

这 个 技术 防止 程序 的 地 址 被 其 他 用 户 修改 。 当 执行 的 程序 的 主体 从 一 个 用 户 变 为 男 一 
个 用 户 时 ,操作 系统 必须 改变 基 寄 存 器 和 界 寄存 器 的 内 容 , 从 而 反映 给 用 户 真实 的 地 址 空 
间 。 这 种 转换 称 为 上 下 文 转换 (context switch) , 当 控制 从 一 个 用 户 转换 成 另 一 个 用 户 时 ， 
操作 系统 必须 执行 上 下 文 转换 。 

使 用 基 / 界 寄存 器 ,用 户 能 够 很 好 地 与 外 部 用 户 分 离 , 更 准确 地 说 ,可 以 防止 外 部 用 户 受 
到 其 他 用 户 程 序 中 错误 的 干扰 。 用 户 地 址 空间 中 错误 的 地 址 仍然 影响 程序 ,因为 基 / 界 检查 
的 仅仅 是 每 个 地 址 是 否 在 用 户 地 址 空间 内 。 比 如 , 当 用 户 空间 的 下 标 超出 范围 或 未 定义 变 
量 在 用 户 地 址 空间 内 产生 一 个 地 址 引用 时 ,用 户 错 误 就 可 能 出 现 ,但 是 ,不 幸 的 是 ,错误 发 生 
在 用 户 程序 的 执行 指令 内 部 。 这 时 ,用 户 可 能 碰巧 存储 的 是 指令 之 上 的 数据 。 这 样 的 错误 
(用 户 一 般 不 会 注意 到 ) 会 破坏 程序 ,但 仅仅 是 破坏 用 户 自己 的 程序 ,不 涉及 其 他 用 户 。 

要 解决 这 一 问题 ,可 以 再 使 用 一 对 基 / 界 寄存 器 对 重 写 程序 。 一 对 用 于 程序 的 指令 ( 代 
码 ), 重 定位 和 检查 取得 指令 (将 被 执行 的 指令 ); 另 一 对 用 于 数据 空间 , 重 定位 和 检查 数据 
访问 (指令 的 操作 )。 两 对 基 / 界 寄存 器 的 使 用 如 图 3-4 所 示 。 尽 管 两 对 寄存 器 并 不 能 防止 
所 有 的 程序 错误 ,但 是 它们 限制 了 数据 操作 地 址 空间 的 指令 产生 的 有 影响。 两 对 寄存 器 的 使 
用 还 有 一 个 重要 的 优点 , 即 一 个 程序 分 离 后 得 到 的 两 部 分 可 以 各 自 进行 重 定位 。 


操作 系统 
地 址 内 存 
0 数据 基 用 户 A 程 序 空间 
基 寄 存 器 操作 系统 数据 界 用 户 B 数 据 空间 
n+l 一 | 
四 用 户 A 数 据 空间 用 户 程 
界 寄存 器 户 A 程 序 空间 序 空间 
用 户 C 程 序 空间 
用 户 程 eg 
户 B 程 序 空间 | f 序 空间 数据 基 用 户 C 数 据 空间 
g 一 | 
G+1 用 户 空间 
户 C 程 序 空间 数据 界 户 B 程 序 空 间 
High 
3-3” 基 / 界 寄存 器 对 3-4 两 对 基 / 界 寡 存 器 


寄存 器 还 可 以 扩展 成 三 对 或 更 多 对 寄存 器 : 一 对 用 于 代码 ,一 对 用 于 只 读数 据 , 一 对 用 
于 可 读 写 的 数据 值 。 尽 管理 论 上 说 这 个 概念 可 以 被 延伸 ,但 是 实际 的 计算 机 设计 只 允许 两 
对 寄存 器 。 对 每 对 增加 的 寄存 器 (两 个 以 内 ) ,每 条 指令 的 机 器 码 必须 隐 含 哪个 重 定位 对 用 
来 处 理 操作 指令 。 即 使 用 两 对 以 上 的 寄存 器 ,每 个 指令 都 要 对 两 个 或 更 多 的 数据 空间 中 的 
一 个 进行 说 明 。 但 是 仅 使 用 两 对 ,这 个 策略 是 自动 的 : 指令 使 用 一 对 ,数据 使 用 一 对 。 
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3.2.4 标记 体系 结构 


使 用 基 / 界 寄存 器 进行 保护 或 重 定位 的 另 一 个 问题 是 它们 的 连续 性 。 每 对 寄存 器 都 限 
制 对 连续 地 址 的 访问 。 编 译 器 或 下 载 器 很 容易 就 能 对 程序 进行 重 排列 ,这 样 所 有 的 代码 片 
段 是 相 邻 的 ,所 有 的 数据 片段 也 是 相 邻 的 。 

然而 ,有 时 候 我 们 可 能 只 想 保护 某 个 数据 而 不 是 全 部 数据 ,比如 ,个 人 资料 可 能 要 求 保 
护 薪水 情况 ,而 办 公 地 点 和 电话 号 码 不 需要 保护 。 此 外 ,程序 员 可 能 希望 保证 一 定数 据 值 的 
完整 性 ,比如 仅 在 程序 初始 化 时 允许 这 些 数据 被 写 而 不 允许 程序 以 后 修改 它们 ,这样 能 够 避 
免 程 序 自身 代码 的 错误 。 程 序 员 也 可 能 请 求 库 文件 中 的 一 个 共享 的 子 程序 。 无 论 是 操作 系 
统 问 题 还 是 运行 的 程序 问题 ,使 用 好 的 设计 方案 都 可 以 使 得 这 些 问 题 得 到 解决 。 

操作 系统 的 一 些 特殊 的 设计 特征 也 可 以 起 作用 。 基 / 界 寄 存 器 为 共享 创建 了 一 个 all- 
or-nothing 条 件 : 程序 或 者 允许 它 所 有 的 数据 被 访问 或 修改 ,或 者 禁止 所 有 的 访问 。 即 使 
有 第 三 组 用 于 共享 数据 的 寄存 器 ,所 有 的 数据 也 需要 放置 在 一 起 。 一 个 进程 不 能 用 一 个 模 
块 共享 数据 条 目 A、B 和 C, 用 另 一 个 模块 共享 A、C 和 D, 而 用 第 三 个 模块 共享 A、B 和 DD。 
完成 这 种 共享 的 唯一 方法 是 将 每 组 合适 的 数据 值 移 到 一 些 相 邻 的 空间 中 。 不 过 ,如 果 数 据 
条 目 是 大 的 记录 ,排列 或 结构 ,这 个 解决 方案 就 不 可 行 。 

一 个 可 行 的 方案 是 标记 体系 结构 。 在 这 个 方案 中 ,机 器 内 存 中 的 每 个 字 都 有 一 个 或 多 
个 临时 位 来 区 分 对 该 字 的 访问 权限 。 这 些 临 时 位 仅 通过 有 特殊 权限 的 (如 操作 系统 ) 指 令 设 
置 。 每 次 指令 访问 时 临时 位 都 会 被 检测 。 

举 一 个 例子 ,如 图 3-5 所 示 ( 其 中 ,R= Read-only, RW 二 Read/ 标记 存储 字 


Write,X 王 Execute-only) ,一 个 内 存 地 址 的 访问 权限 可 能 为 仅 执行 | R | oool 
(如 指令 的 对 象 代码 ) , 另 一 个 为 仅 取 (如 读 ) 数 据 , 还 有 一 个 为 可 修 RW 0137 
改 ( 如 写 ) 。 此 时 ,两 个 相 邻 地 址 有 不 同 的 访问 权限 。 使 用 一 些 临时 0099 
的 标记 位 ,不 同 种 类 的 数据 (数字 、 符 号 、 地 址 或 者 指针 ,以 及 无 符 又 | | 
号 ) 能 够 被 分 离 ,使 得 数据 域 仅 能 被 一 些 具有 特权 的 进程 (如 操作 系 x | :… | 
统 ) 访 问 。 X 

这 种 保护 技术 已 经 用 于 一 些 系统 中 ,尽管 标记 位 的 位 数 还 相当 和 
少 。Burroughs B6500-7500 系统 使 用 三 个 标记 位 来 分 离 数据 字 ( 三 x 和 
种 类 型 )、 描 述 符 ( 指 针 ) ,控制 字 ( 堆 栈 指针 和 地 址 控制 字 )。IBM 系 R 4091 
统 /38 使 用 一 个 标记 位 来 控制 完整 性 和 访问 。 RW 0002 


有 一 种 方法 是 在 一 组 连续 的 地 址 上 使 用 一 个 标记 位 ,比如 128 图 3.5 标记 结构 示例 
或 256 比特 。 每 块 地 址 区 域 一 个 标记 位 ,执行 时 所 增加 的 开销 并 不 
比 每 个 区 域 一 个 标记 位 所 需要 的 开销 高 。Intel 1960 扩展 体系 结构 处 理 器 使 用 了 一 种 标记 
体系 结构 ,与 一 般 的 数据 或 指令 的 地 址 不 同 的 是 . 它 将 标 有 “capability” 的 每 个 存储 字 占 一 
位 。“capability” 控 制 对 大 小 可 变 的 存储 块 或 片段 的 访问 。 这 个 标记 值 支持 大 小 在 64 一 
4 000 000 比特 之 间 的 存储 片段 , 它 有 2” 个 不 同 的 保护 域 。 

代码 兼容 性 给 标记 体系 结构 提出 了 一 个 难题 。 就 目前 来 看 ,标记 体系 结构 可 能 并 不 比 
许多 现代 的 方法 更 有 效 。 事实 上 ,大 部 分 生产 商 仍 然 被 锁定 在 传统 的 存储 结构 中 ,因为 部 件 
的 广泛 的 可 用 性 以 及 保持 操作 系统 和 机 器 系列 的 兼容 性 的 要 求 。 标 记 体 系 结构 要 求 对 所 有 
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的 操作 系统 代码 从 根本 上 进行 改变 ,这 样 的 代价 是 相当 高 的 。 但 是 随 着 存储 器 价格 的 降低 ， 
实现 标记 结构 的 可 行 性 越 来 越 高 。 


3.2.5 段 式 保护 


段 式 保护 即 把 程序 分 成 单独 的 几 个 部 分 。 每 个 部 分 都 有 一 个 逻辑 统一 体 , 显 示 它 所 有 
的 代码 和 数据 值 之 间 的 关系 。 比 如 ,一 个 片段 可 以 是 一 个 过 程 的 代码 一 个 数组 的 数据 或 者 
用 于 特定 模块 的 本 地 数据 值 的 集合 的 代码 。 分 段 可 以 产生 与 不 限定 数目 的 基 / 界 寄存 器 相 
同 的 效果 , 换 句 话说 ,分 段 允 许 一 个 程序 被 分 成 许多 访问 权限 不 同 的 片段 。 

每 个 片段 都 有 一 个 唯一 的 名 字 。 片 段 中 的 代码 或 数据 条 目 可 以 表示 为 二 名 字 , 偏 移 量 二 ， 
这 里 名 字 是 指 包含 数据 条 目的 片段 的 名 字 , 偏 移 量 是 指 它 在 片段 中 的 位 置 ( 即 它 与 起 始 片 段 
之 间 的 距离 ) 。 

从 逻辑 上 看 ,程序 员 描绘 的 程序 是 一 个 长 的 片段 集合 。 片 段 可 以 各 自 进行 重 定位 ,它们 
可 以 被 放置 在 任何 可 用 的 存储 位 置 。 逻 辑 片 段 和 它 真 正 的 存储 位 置 之 间 的 关系 如 图 3-6 
所 示 。 


程序 的 逻辑 排列 程序 片段 的 物理 位 置 
MAIN 操作 系统 片段 
SEG_A SUB 
SUB 
DATA_SEG 
其 他 用 户 
的 片段 


3-6 片段 的 逻辑 表示 和 物理 表示 


操作 系统 必须 维护 一 张 表 ,该 表 包 含 片段 名 字 和 片段 在 内 存 中 的 真实 的 物理 地 址 。 当 
一 个 程序 产生 形 如 二 名 字 , 偏 移 量 二 的 地 址 时 ,操作 系统 在 片段 目录 中 查找 名 字 ,确定 它 实 
际 的 起 始 存储 地 址 ,然后 把 偏 移 量 加 至 地 址 上 ,这 样 就 得 到 了 数据 代码 的 实际 地 址 。 这 个 转 
变 过 程 如 图 3-7 所 示 。 考 虑 到 效率 问题 ,通常 每 个 执行 的 进程 都 有 一 个 操作 系统 的 片段 地 
址 表 。 如 果 两 个 进程 需要 共同 访问 一 个 片段 ,那么 它们 的 片段 表 中 有 相同 的 片段 名 字 和 
地 址 。 

这 样 , 用 户 的 程序 不 知道 它 使 用 的 真正 的 物理 地 址 是 什么 ,因为 没有 方法 能 够 确定 与 
二 名 字 , 偏 移 量 二 相关 联 的 真正 的 地 址 ,当然 也 没 必 要 知道 ,二 名字 , 偏 移 量 二 对 于 程序 访问 
它 所 需 的 任何 指令 和 数据 已 经 足够 了 。 

这 种 隐藏 地 址 用 于 操作 系统 有 三 个 优点 : 

(1) 操作 系统 能 够 把 任何 片段 放置 到 或 移动 到 任何 位 置 , 即 使 程序 已 经 开始 执行 。 因 
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片段 转换 表 地 址 
MAIN C 
SEG A | g a 
逻辑 程序 UB 加 
MA DATA SEG| h 
SEG A 


取 <DATA_SEG, 20> 


Tm 一 e a 


SUB 


DATA_SEG 


3-7 片段 地 址 的 转换 


为 它 通过 片段 地 址 表 转 换 了 所 有 的 地 址 引用 , 当 片 段 移动 时 ,操作 系统 仅 需 要 在 一 个 表 中 更 
新 地 址 。 

(2) 如 果 片 段 当 前 没有 被 使 用 ,那么 它 可 以 从 主 存储 中 移出 (存储 到 一 个 辅助 设备 中 )。 

(3) 每 个 地 址 引用 都 通过 操作 系统 ,所 以 可 以 检查 每 一 个 地 址 以 保护 操作 系统 或 其 他 
用 户 的 程序 。 

因为 第 3 个 优点 ,所 以 只 有 当 进 程 出 现在 程序 的 片段 转换 表 中 时 ,这 个 进程 才能 够 访问 
片段 。 操 作 系 统 对 哪个 程序 可 以 进入 它们 的 片段 地 址 表 中 的 特殊 片段 进行 控制 。 这 种 控制 
对 片段 提供 强 保护 ,阻止 未 授权 的 进程 对 它们 进行 访问 。 比 如 ,程序 A 可 能 可 以 访问 用 户 
X 的 片段 BLUE 和 GREEN ,但 是 不 能 访问 X 或 其 他 用 户 的 其 他 片段 。 通 过 一 种 简单 的 方 
法 ,可 以 允许 一 个 用 户 对 一 个 程序 的 不 同 片段 有 不 同 的 保护 等 级 。 比 如 ,第 一 个 片段 可 能 是 
只 读数 据 , 第 二 个 片段 可 能 是 只 执行 代码 ,第 三 个 片段 可 能 是 可 写 数据 ,这 种 情形 下 ,分 段 能 
够 估计 出 一 个 程序 的 不 同 部 分 的 各 自 的 保护 目标 。 

分 段 机 制 提 供 了 以 下 几 点 安全 措施 : 四 每 个 地 址 引用 都 被 检查 ; 四 不 同等 级 的 数据 条 
目 可 以 分 配 不 同 级 别 的 保护 ; 图 两 个 或 更 多 的 具有 不 同 访问 权限 的 用 户 可 以 共同 访问 一 个 
片段 ; 田 对 一 个 未 授权 的 片段 ,用户 不 能 产生 对 应 的 地 址 ,也 不 能 对 其 进行 访问 。 

分 段 存在 的 问题 是 片段 的 大 小 问题 。 每 个 片段 都 有 一 定 的 大 小 ,程序 可 以 对 有 效 的 片 
段 名 产生 一 个 引用 ,但 是 其 偏 移 量 超出 分 段 的 未 端 。 比 如 ,引用 所 A,9999 二 看 起 来 是 有 效 
的 ,但 是 实际 上 片段 A 的 长 度 可 能 仅 为 200 字 节 。 如 果 不 采取 措施 , 仅 使 用 一 个 大 的 地 址 
偏 移 量 , 这 个 安全 漏洞 就 可 能 允许 程序 访问 超过 片段 长 度 的 任何 内 存 地 址 。 

这 个 问题 在 编译 时 不 能 被 阻止 ,即使 程序 被 加 载 时 也 不 能 ,因为 片段 的 有 效 使 用 要 求 它 
们 在 执行 过 程 中 可 以 增加 大 小 ,比如 ,一 个 片段 可 能 包含 一 个 堆栈 之 类 的 动态 数据 结构 。 因 
此 ,分 段 的 安全 实现 要 求 检查 一 个 生成 的 地 址 ,以 检验 它 有 没有 超过 片段 引用 的 当前 长 度 。 
虽然 这 个 检查 结果 需要 另外 的 开销 (时 间 和 资源 ) ,但 是 分 段 系 统 必须 执行 这 个 检查 ; 分 段 
过 程 必须 保存 转换 表 中 当前 片段 的 长 度 , 并 比较 每 个 生成 的 地 址 。 

这 样 .为 了 平衡 保护 和 效率 ,需要 找到 尽 可 能 有 效 的 方法 进行 分 段 。 尽 管 如 此 ,分 段 的 
有 效 实现 带 来 了 两 个 问题 : 第 一 ,分 段 的 名 字 在 指令 中 编码 不 是 十 分 方便 ; 第 二 ,操作 系统 
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在 转换 表 中 查找 名 字 可 能 不 是 很 快 。 为 了 克服 这 些 困难 .片段 名 常常 通过 编译 器 转化 成 数 
字 ; 编译 器 也 附加 一 个 链接 表 将 数字 和 真正 的 片段 名 进行 匹配 。 不 幸 的 是 , 当 两 个 程序 需 
要 共享 一 个 片段 时 ,这 个 方案 的 实现 会 有 困难 ,因为 分 配给 数据 的 片段 数字 必须 与 被 片段 访 
问 的 一 致 。 


3.2.6 页 式 保护 


程序 被 分 成 的 大 小 相等 的 部 分 称 为 页 ,内 存 被 分 成 的 相等 大 小 的 单元 称 为 页 面 (page 
frames) ,页 的 大 小 通常 在 512 一 4096 字 节 之 间 。 与 段 式 保护 相似 ,页 式 保护 方案 的 每 个 地 
址 也 用 一 个 二 元 组 表示 : 所 页 , 偏 移 量 二 。 

每 个 地 址 的 转换 过 程 与 分 段 相 似 : 操作 系统 一 张 表 ,记录 用 户 的 页 数 和 在 内 存 中 的 真 
实地 址 。 每 个 二 页 , 偏 移 量 二 引用 的 页 部 分 通过 查 表 转 化 成 页 面 地 址 , 偏 移 量 加 入 页 面 地 址 
生成 二 页 , 偏 移 量 二 在 内 存 中 的 的 真实 地 址 。 这 个 过 程 可 以 如 图 3-8 所 示 。 


页 转换 表 
逻辑 程序 页 地 址 地 址 存储 
Page0 0 b 0 
Page 1 EE 1|F ， 
本 Page 0 
取 <4, 37> 2 i c 位 置 37， 
日 aii Page 4 页 4 
Page 2 门 d 
© 
Page 3 f | Page7 
Page 4 g Page 1 
h 
Page 5 i Page 5 
Page 6 
j Page 2 
Page7 | 
k 
L Page 3 
i age 
n 
Page 6 
9 


3-8 页 地 址 转化 


与 分 段 不 同 ,分 页 方法 中 所 有 的 页 都 是 相等 的 固定 的 大 小 ,所 以 不 存在 分 段 的 碎片 问 
题 。 每 个 页 都 可 以 在 内 存 中 找到 合适 的 页 ,这样 就 解决 了 超过 页 长 的 地 址 问题 。 二 元 组 形 
式 的 二 页 , 偏 移 量 之 地 址 的 设计 是 为 了 使 偏 移 量 填充 地 址 的 一 些 位 。 

分 页 是 怎样 工作 的 呢 ? 不 妨 假设 一 页 的 大 小 为 1024( 二 2”) 字 节 , 这 里 10b 是 分 配给 每 
个 地 址 的 偏 移 量 ,此 时 程序 不 能 产生 超过 1023 字 节 偏 移 量 。 移 动 到 二 x,1023 二 下 一 个 位 置 
会 引起 页 部 分 进位 ,这 样 就 会 移动 到 下 一 页 。 这 个 转换 过 程 中 ,分 页 进程 检查 以 确保 二 页 ， 
偏 移 量 二 引用 没有 超过 进程 定义 的 页 的 最 大 数目 。 

使 用 分 段 法 ,程序 员 必 须 考 虑 片段 。 然 而 , 当 使 用 基于 分 页 的 操作 系统 时 ,程序 员 会 忽 
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略 页 界限 。 此 外 ,分 页 中 每 页 没有 一 个 逻辑 统一 体 ; 一 页 即 为 程序 的 下 一 个 2 字 节 。 这 
样 ,如 果 更 改 程序 (比如 一 条 指令 的 添加 ) ,就 会 将 这 条 指令 后 面 的 所 有 指令 后 移 , 从 而 导致 
每 一 页 最 后 的 一 些 字 节 移动 到 下 一 页 的 开始 。 这 种 变换 不 是 程序 员 需 要 注意 的 ,因为 分 页 
的 整个 机 制 和 地 址 转换 对 程序 员 是 隐藏 的 。 

尽管 如 此 ,考虑 到 保护 ,这 种 转换 存在 一 个 严重 的 问题 。 因 为 片段 是 逻辑 统一 体 ,因此 
可 以 对 每 个 片段 实施 不 同 的 保护 权限 ,比如 只 读 或 只 执行 ,这 种 转换 在 地 址 转换 阶段 可 以 有 
效 地 进行 处 理 。 但 是 使 用 分 页 时 每 页 的 条 目 没 有 必需 的 统一 体 , 所 以 没有 方法 使 得 一 页 上 
的 所 有 值 都 有 相同 的 保护 等 级 ,比如 只 读 或 只 执行 。 


3.2.7 段 页 式 保护 


我 们 已 经 知道 分 页 提供 了 执行 效率 ,而 分 段 提供 了 逻辑 保护 。 因 为 它们 都 有 各 自 的 缺 
点 和 优点 ,所 以 可 以 将 它们 结合 起 来 使 用 。 

主流 系统 IBM 390 系列 使 用 了 段 页 式 相 结合 的 保护 方式 。 同 样 ,多 路 复 用 信息 与 计算 
服务 操作 系统 (multics operating system) 在 分 段 上 采用 了 分 页 法 。 这 两 种 情况 下 ,程序 员 
可 以 将 一 个 程序 分 成 逻辑 片段 ,每 个 片段 又 被 分 成 固定 大 小 的 页 。Maultics 操作 系统 中 地 址 
使 用 了 18 位 的 片段 名 和 16 位 的 偏 移 量 , 地 址 被 分 成 1024 字 节 的 页 。 图 3-9 所 示 描 述 了 这 
个 转换 过 程 。 这 个 方法 保持 了 片段 的 逻辑 完整 性 ,并 对 片段 授予 不 同 的 保护 权限 ,但 是 它 为 
每 个 地 址 增加 了 一 个 另外 的 转换 层 。 添 加 的 硬件 提高 了 执行 效率 。 


片段 转换 表 地 址 存储 
片段 页 表 页 转换 表 
片段 Main 的 页 地 址 
a 
逻辑 程序 0| < | 
i 6 DATA_SEG Page 1 
MAIN 1 | ff 
Ise MAIN Page 0 
让 二 片段 SEG_A d 
页 
SEG_A | 的 页 地 址 SEG_A Page 1 
上 \ 
| 1 取 <DATA_SEG, 20> \ El g |MAIN Pagel 
1 1 
I A ed eal h [seG A Ppage2 
SUB ! \ 时 i 
1 < | 8 
[人 | \\ 片段 SUB j |SUB Page0 
! 的 页 地 址 
1 \ 
| +| 人 中 这 | | 
| A DATA_SEG Page 0 
| 的 责 志 让 zd 
1 一 
r- 上 -20=pPaseo--- 一 | ol ” |-ASEG_Apage0 
上 上 -一 DO 一 
| lB SR 
L 


i | 片段 DATA_SEG 字 20 
3-9 段 页 式 保 护 
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3.3 文件 保护 机 制 


3.3.1 保护 的 基本 形式 


每 个 系统 都 必须 提供 最 小 保护 来 防止 用 户 恶 意 或 无 意 访问 或 者 修改 其 他 用 户 的 文件 。 
随 着 用 户 的 增多 ,这 种 保护 机 制 也 变 得 越 来 越 复 杂 。 

1. 全 无 保护 

最 初 的 IBM 操作 系统 中 ,文件 是 默认 公开 的 。 任 何 用 户 都 可 以 读 、 修 改 或 删除 一 个 属 
于 任何 其 他 用 户 的 文件 。 为 了 取代 硬件 或 软件 保护 ,主要 的 信任 保护 与 无 知 联系 在 了 一 起 。 
系统 设计 者 假设 可 以 相信 用 户 不 会 读 或 修改 其 他 用 户 的 文件 ,因为 用 户 希 望 其 他 用 户 同样 
尊重 他 。 这 些 无 知 是 很 有 用 的 ,因为 用 户 可 以 仅 通过 名 字 访 问 文件 ,假设 用 户 仅 知道 他 们 有 
合法 访问 权 的 那些 文件 的 名 字 。 

然而 ,对 于 那些 敏感 的 系统 文件 ,系统 管理 员 可 以 通过 口令 来 保护 它们 。 正 常用 户 也 可 
以 使 用 口令 ,但 是 口令 看 做 是 保护 系统 文件 的 最 好 的 方法 。 有 时 ,口令 控制 所 有 的 访问 ( 读 、 
写 或 删除 ) ,使 得 系统 管理 员 可 以 完全 控制 所 有 的 文件 。 但 是 有 时 候 口 令 仅 控制 写 权 限 和 删 
除权 限 , 因 为 只 有 这 两 个 操作 会 影响 其 他 用 户 。 无 论 哪 种 情况 ,每 次 访问 文件 时 口令 机 制 都 
要 求 系统 操作 人 员 的 干涉 。 

然而 ,这 种 全 -无 (all-or-none) 保 护 由 于 以 下 几 个 原因 是 不 能 被 接受 的 : 

(1) 缺少 信任 。 可 靠 用 户 的 假设 是 不 合理 的 。 对 于 用 户 知道 彼此 的 系统 而 言 ,互相 尊 
重 是 可 能 的 ,但 是 对 于 大 部 分 系统 而 言 ,每 个 用 户 都 不 知道 其 他 用 户 ,他们 之 间 是 无 法 产生 
信任 的 。 

(2) 太 粗 糙 。 即 使 用 户 可 以 区 分 出 一 组 可 靠 的 用 户 , 也 没有 一 种 方法 可 以 使 得 仅 允 许 
这 组 可 靠 用 户 访问 。 

(3) 共享 的 提高 。 这 种 保护 机 制 更 适用 于 批 环 境 , 用 户 几 乎 没有 可 能 与 其 他 用 户 通 信 ， 
而 且 用 户 在 不 与 系统 通信 时 才能 进行 他 们 的 思考 和 开发 。 然 而 ,对 于 共享 的 系统 ,用 户 与 其 
他 用 户 以 及 代表 不 同等 级 用 户 的 程序 通信 。 

(4) 复杂 性 。 文 件 保护 要 求 操作 人 员 的 参与 ,这 样 操作 系统 的 性 能 就 下 降 了 。 因 此 , 文 
件 保 护 这 种 类 型 在 计算 机 中 并 不 受 欢迎 .除了 大 部 分 的 敏感 数据 集 。 

(5) 文件 目录 。 出 于 审计 的 目的 ,也 为 了 帮助 用 户 记 住 他 们 负责 哪些 文件 ,不 同 的 系统 
都 会 产生 一 个 所 有 文件 的 目录 。 这 样 ,用户 就 不 会 忘记 系统 中 存在 哪些 文件 。 交 互 用 户 可 
能 试图 浏览 不 受 保 护 的 那些 文件 。 

2. 分 组 保护 

全 无 保护 有 许多 缺陷 ,研究 人 员 于 是 寻求 一 种 改进 方法 来 保护 文件 ,他 们 致力 于 将 有 共 
同 关系 的 用 户 分 为 一 个 组 。 比 如 ,在 UNIX 系统 中 .所 有 的 用 户 被 分 成 这 样 几 类 : 用 户 、 可 
信 工 作 组 、 合 作用 户 、 其 他 用 户 。 简 单 地 说 ,可 以 概括 为 用 户 、. 组 和 其 他 用 户 。Windows NT 
系统 采用 了 相似 的 保护 体制 ,将 用 户 分 为 管理 员 、 强 用 户 、 用 户 、 访 客 (NT 管理 员 可 以 创建 
其 他 组 )。 
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所 有 的 授权 用 户 被 分 成 若干 组 。 一 个 组 可 能 包含 工作 于 同一 个 项 目 、 部 门 、 班 级 的 成 员 
或 单个 用 户 。 组 关系 的 基础 是 存在 共享 。 组 成 员 之 间 有 一 些 共 同 的 利益 ,不 妨 假设 他 们 有 
需要 与 其 他 组 成 员 共 享 的 文件 。 这 种 方法 中 ,没有 用 户 属 于 两 个 或 两 个 以 上 的 组 ,和 否则, 同 
时 属于 组 A 和 B 的 成 员 可 能 将 文件 A 传递 给 组 B 的 另 一 个 成 员 。 

当 创 建 一 个 文件 时 ,用 户 定义 对 文件 的 访问 权限 ,可 以 是 用 户 自己 的 ,也 可 以 是 同一 个 
组 的 其 他 成 员 ,或 者 是 所 有 的 其 他 用 户 。 一 般 来 说 ,访问 权限 的 选择 是 一 个 有 限 组 ,比如 {更 
新 ,只 读 , 读 , 写 , 创 建 ,删除 }。 对 于 一 个 特殊 的 文件 ,可 能 授予 其 他 用 户 只 读 权 , 组 用 户 读 和 
更 新 权 , 用 户 所 有 权限 。 这 个 方法 将 适用 于 组 产生 的 文件 ,此 时 不 同 的 组 成 员 可 能 修改 正在 
被 写 入 的 部 分 。 这 个 文件 本 身 允 许 组 外 的 用 户 浏览 但 不 允许 他 们 进行 修改 。 

组 保护 法 (group protection) 一 个 很 突出 的 优点 是 它 执 行 的 简易 性 。 一 个 用 户 通 过 两 
个 标识 符 识别 : 用 户 ID 和 组 ID。 这 些 标识 符 存储 在 每 个 文件 的 目录 条 目 中 ,用 户 登录 时 
操作 系统 获得 它们 。 因 此 ,操作 系统 可 以 检查 请 求 访问 文件 的 用 户 的 组 ID 是 否 与 有 该 文件 
访问 权限 的 组 ID 相 匹 配 。 

尽管 这 个 保护 方案 克服 了 all-or-nothing 方案 的 缺陷 ,但 是 它 也 产生 了 新 的 问题 。 

(1) 组 关系 。 一 个 用 户 不 能 属于 两 个 组 。 假设 Tom 与 Ann 属于 一 个 组 ,与 Bill 属于 另 
一 个 组 。 如 果 Tom 暗示 一 个 文件 对 组 可 读 ,那么 这 个 组 是 指 哪 一 个 呢 ? 假 设 Ann 的 一 个 
文件 对 组 可 读 ,Bill 可 以 访问 它 吗 ? 解决 这 些 模棱两可 问题 的 最 佳 方案 就 是 每 个 用 户 只 属 
于 一 个 组 (这 并 不 是 说 所 有 的 用 户 都 属于 一 个 组 ) 。 

(2) 多 重 身份 。 为 了 克服 一 个 用 户 一 个 组 的 限制 ,一 些 用 户 可 能 获得 多 个 账户 来 允许 
他 们 成 为 多 个 用 户 。 这 个 漏洞 带 来 了 新 的 问题 ,因为 单个 用 户 在 一 个 时 间 只 能 是 一 个 用 户 。 
假设 Tom 获得 了 两 个 账户 ,于 是 就 形成 了 Toml 与 Ann 属于 一 个 组 ,Tom2 与 Bill 属于 一 
个 组 。Toml 并 不 与 Tom2 属于 同一 个 组 ,所 以 只 有 当 Toml 的 文件 ,程序 或 者 帮助 的 访问 
权限 设 为 world 时 ,它们 才 对 Tom2 可 用 。 多 重 身份 导致 了 账户 的 增多 ,元 余 的 文件 ,文件 
的 有 限 保 护 , 而 且 对 用 户 而 言 是 不 便 的 。 

(3) 所 有 组 。 为 了 避免 重 身份 ,系统 管理 员 可 能 决定 Tom 在 活跃 状态 下 可 以 访问 他 所 
有 的 文件 。 这 个 解决 方案 使 得 Tom 有 责任 控制 他 与 谁 共享 什么 ,他 可 能 与 Ann 属于 
Groupl ,与 Bill 属于 Group2。 他 创建 Groupl 文件 与 Ann 共享 ,但 是 如 果 下 次 他 登录 时 在 
Group2 是 活跃 状态 ,他 仍然 看 到 Group1l 文件 ,不 过 可 能 没 意 识 到 Bill 不 可 访问 该 文件 。 

(4) 有 限 共 享 。 文 件 只 可 能 在 组 或 world 范围 内 共享 。 用 户 和 希望 能 够 以 文件 为 基础 来 
确认 需要 共享 一 个 文件 的 成 员 ,比如 与 10 个 用 户 共 享 一 个 文件 ,而 与 20 个 其 他 用 户 共 享 另 
二 全 奖 件 % 


3.3.2 单一 权限 

尽管 有 缺点 ,这 里 给 出 的 文件 保护 方案 却 是 简单 的 . 易 懂 的 。 当 对 单个 文件 授予 权限 
时 ,为 了 简化 实施 ,建议 使 用 其 他 的 易 操 作 的 方法 来 提供 更 高 程度 的 安全 。 

1. 持续 权限 

这 个 方法 通常 的 实现 是 使 用 一 个 名 字 ,一 个 令 牌 ,或 一 个 秘密 。 同 样 地 ,计算 时 根据 访 
问 列表 授予 访问 权限 ,出 示 一 个 令 牌 或 票据 ,或 给 一 个 口令 。 用 户 访问 许可 用 于 所 有 的 访问 
或 仅 修改 ( 写 权 限 ) 。 
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所 有 这 些 方法 在 撤销 时 都 有 一 个 问题 : 将 某 人 从 一 张 列 表 删 除 很 容易 ,但 是 找 出 授权 
给 这 个 人 的 列表 将 其 删除 就 很 困难 了 。 重 新 请 求 一 个 令 牌 或 口令 则 更 加 困难 。 

2. 临时 获得 权限 

UINX- 操作 系统 提供 了 一 种 很 有 趣 的 许可 机 制 , 它 基 于 用 户 -组 -其 他 用 户 三 层 结构 。 
UNIX 设计 者 添加 了 一 个 称 为 set userid(suid) 的 许可 权限 。 如 果 这 个 保护 是 为 被 执行 的 文 
件 而 设计 的 ,那么 保护 级 别 就 是 文件 属 有 者 的 ,而 不 是 执行 者 的 。 假 设 Tom 拥有 一 个 文件 ， 
允许 Ann 使 用 suid 执行 这 个 文件 。 当 Ann 执行 这 个 文件 时 ,她 有 的 是 Tom 的 保护 权 而 不 


是 她 自己 的 。 
这 个 特殊 的 许可 很 有 用 , 它 允 许 用 户 建立 数据 文件 ,但 是 只 有 指定 的 程序 才能 访问 这 些 
文件 。 


举 一 个 例子 ,假设 你 希望 建立 一 个 由 计算 机 管理 的 约会 服务 数据 库 系统 ,对 用 户 空 闲 的 
晚上 进行 管理 。Sue 可 能 想 在 周 六 约会 ,但 是 她 已 经 拒绝 了 Jeff 的 请 求 ,说 她 有 其 他 计划 ， 
Sue 不 希望 Jeff 知道 她 有 空 。 为 了 使 用 这 个 服务 ,Sue、Jeff 以 及 其 他 人 必须 能 够 读 文 件 并 
写 入 文件 (至 少 不 是 直接 的 ) ,来 确定 谁 有 空 或 公开 他 们 的 可 用 时 间 。 但 是 Jeff 能 够 直接 读 
文件 ,他 会 发 现 Sue 撒谎 了 。 因 此 ,你 的 约会 服务 必须 强制 Sue 和 Jeff( 以 及 其 他 人 ) 仅 通过 
一 个 访问 程序 访问 这 个 文件 ,这 个 程序 可 以 显示 Jeff 获得 的 数据 。 但 是 如 果 文 件 的 读 写 访 
问 仅 限于 作为 管理 者 的 你 ,Sue 和 Jeff 将 永远 不 可 能 向 其 中 输入 数据 。 

这 个 解决 方案 就 是 UNIX SUID 保护 。 你 创建 的 数据 文件 , 仅 给 你 访问 许可 。 你 也 可 以 
写 程序 来 访问 数据 库 , 然 后 使 用 SUID 保护 保存 的 程序 。 当 Jeff 执行 你 的 程序 时 ,他 临时 获得 
你 的 访问 许可 ,但 是 仅 在 程序 执行 过 程 中 。Jeff 没有 对 文件 的 直接 访问 权 , 因 为 你 的 程序 会 进 
行 实际 的 文件 访问 。 当 Jeff 退出 你 的 程序 时 ,他 重新 获得 他 自己 的 访问 权限 ,失去 你 的 访问 权 
限 。 这 样 ,你 的 程序 可 以 访问 文件 ,但 是 程序 必须 显示 给 Jeff, 只 有 这 个 数据 允许 Jeff 查看 。 

这 个 机 制 使 用 很 方便 ,普通 用 户 只 能 用 规定 的 方法 实现 。 比 如 , 仅 系 统 能 够 使 用 用 户口 
令 修 改 文 件 , 但 是 每 个 用 户 都 可 以 随时 改变 他 们 自己 的 口令 。 使 用 SUID 特性 ,口令 修改 程 
序 权 归 系统 所 有 ,因此 系统 对 系统 口令 表 有 完全 的 权限 。 改 变 口令 的 程序 也 由 一 个 SUID 保 
护 ,这 样 当 一 个 正常 用 户 执行 程序 时 ,程序 能 够 用 受 限 的 方式 以 用 户 的 立场 修改 口令 文件 。 
3.3.3 每 个 对 象 与 每 个 用 户 保 护 

这 些 保 护 方案 的 主要 局 限 是 创建 与 用 户 有 联系 且 有 意义 的 组 的 能 力 ,这些 用 户 有 着 访 
问 一 个 或 多 个 数据 集 的 相似 的 访问 权限 。 访 问 控制 列表 或 者 访问 控制 矩阵 描述 了 早期 提供 
的 灵活 的 保护 。 他 们 的 缺点 是 对 于 那些 想 获得 许多 用 户 以 及 许多 不 同 的 数据 集 的 访问 权限 
的 用 户 而 言 的 ; 这 样 的 用 户 必 须 对 允许 每 个 用 户 访问 的 每 个 数据 集 进 行 具体 说 明 。 作 为 一 
个 新 添加 的 用 户 ,用 户 特殊 的 访问 权限 必须 对 所 有 合适 的 用 户 进行 说 明 。 


3.4 用 户 认 证 


一 个 操作 系统 的 大 部 分 保护 是 基于 系统 的 用 户 而 言 的 。 在 实际 生活 中 ,人 们 常常 询问 
他 们 不 知道 的 人 们 的 身份 : 银行 雇员 可 能 在 兑现 一 张 支票 前 要 求 出 示 驾 驶 证 ,图 书馆 雇员 
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可 能 在 还 书 前 要 求 身 份 证 明 ,移民 局 可 能 会 要 求 护照 来 作为 身份 的 证 明 。 这 种 面对面 的 身 
份 证 明 比 远程 的 身份 证 明 容 易 多 了 。 比 如 ,一 些 大 学 不 会 通过 电话 通知 成 绩 ,因为 办 公 人 员 
不 知道 是 否 是 那个 学 生 在 接听 。 然 而 ,一 个 能 够 识别 学 生 声音 的 教授 可 以 告诉 学 生 他 的 成 
绩 。 认 证 的 方法 很 多 ,文件 .声音 识别 .指纹 识别 等 都 可 以 用 来 进行 身份 认证 。 

计算 时 ,选择 受 限 更 多 ,安全 性 更 低 。 任 何人 都 可 以 试图 登录 一 个 计算 系统 。 与 能 够 识 
别 学 生 声 音 的 教授 不 同 , 计 算 机 不 能 区 分 不 同 用 户 的 电子 信号 的 不 同 。 这 样 , 大 部 分 的 计算 
认证 系统 必须 基于 一 些 仅 被 用 户 和 计算 系统 共享 的 知识 。 

认证 机 制 可 以 使 用 下 面 三 种 方法 之 一 来 确认 用 户 的 身份 : 用 户 知道 的 事情 ,口令 、 
PIN 数字 、 秘 密 的 握手 以 及 母亲 的 名 字 都 是 用 户 可 能 知道 的 事情 ; @ 用 户 拥有 的 物品 ,身份 
标志 、 公 钥 、 驾 驶 证 或 者 制服 都 是 一 些 常 见 的 可 以 区 分 用 户 身 份 的 物品 ; 四 用 户 的 所 属 , 这 
些 证 明 者 称 为 生物 特征 ,以 用 户 的 物理 特征 为 基础 ,比如 指纹 .用 户 声音 的 形式 .人 脸 ( 图 
像 )。 这 些 认证 方法 都 是 旧 的 (人 们 通过 朋友 的 脸 在 人 群 中 辨认 他 们 ,通过 他 们 的 声音 在 打 
电话 时 区 分 他 们 ) ,但 是 它们 刚刚 开始 用 于 用 户 与 计算 机 之 间 的 认证 。 

将 这 三 种 方法 进行 组 合 可 以 形成 更 强 的 认证 ,比如 ,银行 卡 和 PIN 就 将 用 户 拥 有 的 物 
品 与 用 户 知道 的 事情 进行 了 组 合 。 

口令 是 相互 协商 所 得 的 码 字 ,假设 仅 被 用 户 和 系统 知道 。 在 一 些 情况 下 ,用 户 选择 口 
令 ; 在 男 一 些 情况 下 ,系统 分 配 口令 。 口 令 的 长 度 和 格式 也 因 系 统 的 不 同 而 不 同 。 

为 了 帮助 用 户 选 择 好 的 口令 ,一 些 系 统 提供 无 意义 但 可 以 读 的 口令 。 比 如 ,VAX VMS 
系统 随机 产生 5 个 口令 ,用 户 从 中 选择 一 个 。 它 们 可 读 出 来 ,所 以 用 户 能 够 重复 并 记 住 它 
们 。 然 而 ,用 户 可 能 记 错 一 个 口令 ,改变 内 部 的 音节 或 无 意义 的 字符 串 中 的 字母 (bliptab 很 
容易 被 记 成 blaptib 或 blaptip)。 

有 时 系统 强迫 用 户 定期 修改 口令 ,每 次 要 求 修改 口令 时 ,拥有 最 喜欢 的 口令 的 用 户 会 在 
两 个 口令 间作 出 选择 。 为 了 避免 口令 重用 ,Microsoft Windows 2000 系统 拒绝 接受 任何 最 
近 上 次 使 用 过 的 口令 。 这 种 系统 的 用 户 每 月 需要 经 历 24 次 口令 更 换 才 能 返回 到 他 最 喜欢 
的 口令 。 

一 次 口令 (one-time password) 是 指使 用 一 次 就 更 换 的 口令 。 系 统 分 配给 用 户 的 不 是 一 
个 静态 的 短语 而 是 一 个 静态 的 数学 函数 。 系 统 提供 参数 给 函数 ,用 户 进行 计算 并 返回 函数 
值 。 这 样 的 系统 也 称 为 挑战 响应 系统 (challengeresponse system), 因 为 系统 给 用 户 一 个 挑 
战 ,并 通过 用 户 的 响应 判断 用 户 的 真实 性 。 

一 次 口令 在 认证 中 有 很 重要 的 地 位 ,因为 截获 的 口令 是 无 用 的 , 它 不 能 被 重用 。 然 而 ， 
它们 的 有 用 性 受到 了 算法 复杂 性 的 限制 ,人 们 希望 算法 容易 被 记 住 。 口 令 生成 器 设备 可 以 
执行 很 复杂 的 函数 ,并 且 有 一 些 价格 合理 的 模型 .它们 能 够 有 效 地 抵抗 在 网 络 中 以 明文 形式 
传输 口令 的 危险 。 

用 户 有 时 会 误 输 他 们 的 口令 。 用 户 在 接收 到 不 正确 登录 的 消息 后 会 仔细 地 重新 登录 ， 
并 获得 系统 的 访问 权 。 即 使 是 很 糟糕 的 打字 员 在 尝试 多 次 后 也 能 够 成 功 登 录 。 

一 些 认 证 程序 很 慢 。 如 果 登 录 过 程 需 要 5 秒 或 10 秒 ,合法 用 户 不 会 抱怨 。 对 于 进行 穷 
举 搜索 或 字典 搜索 的 密码 分 析 员 而 言 ,每 次 5 秒 或 10 秒 会 使 得 这 种 攻击 不 可 行 。 

那些 总 是 登录 失败 的 用 户 可 能 不 是 授权 用 户 。 当 连续 几 次 登录 失败 后 ,系统 常常 中 断 
连接 ,强迫 用 户 重 新 与 系统 建立 连接 。 
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在 更 安全 的 装置 中 ,阻止 攻击 者 比 容忍 用 户 错误 更 为 重要 。 比 如 ,一 些 系统 管理 员 假 设 
所 有 的 合法 用 户 在 三 次 以 内 能 够 正确 输入 他 们 的 口令 。 连 续 三 次 口令 失败 后 ,用 户 不 能 使 
用 那个 账户 ,只 有 安全 管理 员 才 能 使 这 个 账户 重新 使 用 。 这 种 识别 账户 的 方法 可 能 成 为 攻 
击 者 的 目标 。 

口令 认证 假设 知道 口令 的 人 是 口令 的 所 有 者 。 正 如 平常 所 看 到 的 ,口令 可 以 被 猜测 或 
者 推断 。 一 些 人 在 询问 时 给 出 他 们 的 口令 。 其 他 的 口令 只 有 在 看 到 用 户 输入 时 才能 获得 。 
口令 可 以 被 认为 是 证 据 的 第 一 部 分 ,但 是 怀疑 者 会 想 要 更 多 的 证 据 。 

有 许多 方法 可 以 用 来 提供 二 级 保护 ,包括 另 一 轮 口令 或 挑战 响应 交换 。 

1. 挑战 响应 系统 

登录 常常 是 时 间 不 变 的 。 除 了 口令 更 改 时 ,每 次 登录 看 起 来 都 和 以 前 一 样 。 更 复杂 的 
登录 要 求 用 户 ID 和 口令 ,以 及 一 个 挑战 响应 交换 。 在 这 样 的 交换 中 ,系统 给 用 户 一 个 回复 ， 
每 次 用 户 登 录 时 这 个 回复 都 不 同 。 比 如 ,系统 可 能 显示 四 位 数字 ,而 用 户 必 须 准 确 输 入 一 个 
函数 ,比如 求解 这 些 数字 的 乘积 或 和 的 函数 。 每 个 用 户 被 分 配 一 个 不 同 的 挑战 函数 来 计算 ， 
因为 有 许多 可 能 的 挑战 函数 ,获得 用 户 ID 和 口令 的 攻击 者 不 能 推算 出 正确 的 函数 。 

与 计算 器 相似 的 物理 设备 可 以 用 来 执行 更 复杂 的 响应 函数 。 用 户 输入 挑战 数字 ,设备 
计算 并 显示 响应 给 用 户 登录 。 

2. 冒充 登录 

这 个 系统 中 ,证据 是 单 向 的 。 系 统 要 求 用 户 身 份 证 明 , 但 是 假设 用 户 信任 系统 。 不 过 ， 
程序 员 很 容易 写 一 个 程序 来 显示 用 户 ID 和 口令 的 提示 ,捕获 输入 的 对 并 存 人 文件 中 ,然后 
显示 “系统 错误 ; 中 断 连接 ”, 最 后 退出 。 这 种 攻击 是 特洛伊 木马 的 一 种 类 型 。 攻 击 者 建立 
后 便 不 再 管理 终端 ,而 是 等 待 无 训 的 受害 者 登录 。 此 时 的 受害 者 根本 想不到 已 经 出 现 了 一 
个 安全 缺陷 。 

为 了 抵抗 这 种 类 型 的 攻击 ,用户 必须 保证 每 次 使 用 系统 时 系统 的 访问 路 径 都 重新 初始 
化 。 在 一 些 系统 中 ,再 次 打开 或 关闭 终端 或 者 按 Break 键 产生 一 个 信号 给 计算 机 使 其 暂停 
终端 进程 的 运行 。 然 而 ,不 是 每 台 计 算 机 都 能 辨认 出 power-off 或 者 Break 是 对 当前 进程 的 
中 断 。 计 算 系 统 常常 通过 网 络 访问 ,所 以 复杂 的 初始 化 是 不 可 能 的 。 

用 户 可 能 怀疑 计算 系统 ,就 像 系 统 怀 疑 用 户 一 样 。 在 确信 计算 系统 是 合法 的 之 前 ,用 户 
不 会 输入 秘密 数据 (比如 口令 )。 当 然 , 只 有 通过 认证 过 程 ,计算 机 才 会 承认 用 户 。 计 算 系 统 
可 以 显示 一 些 仅 被 用 户 和 系统 知道 的 信息 。 比 如 ,系统 可 能 读 用 户 的 姓名 ,并 回复 “你 最 后 
一 次 登录 是 4 月 10 日 9: 47”。 用 户 在 输入 秘密 的 口令 之 前 能 够 验证 日 期 和 时 间 是 否 正确 。 
如 果 要 求 更 高 的 安全 ,系统 可 能 发 送 加 密 的 时 间 惟 。 用 户 对 其 解密 ,并 发 现时 间 是 当前 时 
间 。 为 了 使 系统 确信 恶意 的 攻击 者 没有 从 以 前 的 登录 中 截获 口令 ,用 户 以 加 密 的 时 间 惟 和 
口令 进行 回复 。 

认证 讨论 中 时 常 被 忽略 的 可 靠 性 也 是 一 个 双边 问题 ; 系统 需要 确认 用 户 是 真实 的 ,但 
是 用 户 也 同样 需要 确认 系统 。 第 二 个 问题 导致 了 计算 机 欺骗 的 另 一 个 类 型 一 一 网 络 钓 鱼 
(phishing) ,用 户 提交 敏感 信息 给 一 个 冒充 可 信任 系统 的 恶意 系统 。 网 络 钓鱼 攻击 的 目标 
是 银行 和 其 他 金融 机 构 ,因为 欺骗 者 可 以 使 用 他 们 从 客户 获得 的 敏感 数据 从 真正 的 机 构 取 
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走 用 户 的 钱 。 

认证 在 操作 系统 中 有 着 很 重要 的 作用 ,因为 准确 的 用 户 鉴别 是 个 人 访问 权限 的 关键 。 
大 部 分 操作 系统 和 计算 系统 管理 员 采 用 的 是 合理 但 严格 的 安全 措施 ,从 而 在 非法 用 户 访问 
系统 之 前 将 其 排除 ,但 有 时 会 将 一 些 不 合适 的 机 制 强制 用 作 认 证 设备 。 


3.5 系统 行为 审计 


审计 是 对 计算 机 系统 和 网 络 进行 安全 评估 和 保证 的 工具 。 入 侵 检测 时 用 户 正 在 进行 的 
活动 的 某 个 记录 必须 保存 下 来 ,通常 有 两 个 方案 。 

(1) 本 地 审计 记录 : 事实 上 ,所 有 的 多 用 户 操作 系统 都 包括 收集 用 户 活动 信息 的 审计 
软件 。 使 用 这 个 信息 的 优点 是 不 需要 另外 的 收集 软件 ,缺点 是 本 地 审计 记录 可 能 不 包含 需 
要 的 信息 或 不 以 方便 的 形式 包含 它 。 

(2) 检测 明确 的 审计 记录 : 收集 设备 能 够 产生 仅 包 含 和 人 侵 检 测 系 统 要 求 的 信息 的 审计 
记录 。 这 种 方法 的 优点 是 供应 商 独 立 , 可 以 用 于 多 个 不 同 的 系统 ,缺点 是 产生 额外 的 开销 ， 
事实 上 ,两 个 审计 包 运 行 于 一 台 机 器 上 。 

一 个 检测 明确 的 审计 记录 应 包含 以 下 几 个 域 。 

(1) 主体 : 行为 的 发 起 者 。 主 体 一 般 是 一 个 终端 用 户 , 但 也 可 能 是 代表 用 户 或 群 用 户 
利益 的 进程 。 所 有 的 活动 由 主体 的 指令 产生 。 主 体 可 能 被 分 成 不 同 的 访问 等 级 ,这 些 等 级 
可 能 重 和 到 。 

(2) 行为 : 主体 对 客体 的 操作 ,如 登录 ,. 读 、 执 行 IO、 执 行 。 

(3) 客体 : 行为 的 接收 者 ,包括 文件 .程序 消息. 记录、 终端 .打印 机 以 及 用 户 或 程序 创 
建 的 结构 。 当 主体 是 行为 的 接受 者 时 (比如 电子 邮件 ) ,主体 被 看 做 是 客体 。 客 体 可 能 被 分 
成 各 种 类 型 。 客 体 粒度 可 能 因 客 体 的 类 别 和 环境 的 不 同 而 不 同 , 比 如 ,数据 库 行 为 可 能 作为 
整个 数据 库 被 审计 ,也 可 能 作为 记录 被 审计 。 

(4) 异常 条 件 : 当 返 回 时 会 出 现 异 常 条 件 ,可 用 which ,if any 表示 。 

(5) 资源 使 用 : 定量 元 素 表 , 其 中 每 个 元 素 表 示 某 个 资源 的 使 用 量 , 如 打印 队列 的 数 
目 . 读 或 写 的 记录 的 数目 、 使 用 的 1/O 单元 、 处 理 时 间 等 。 

(6) 时 间 截 : 当 行 为 发 生 时 ,用 于 标识 的 唯一 的 时 间 - 日 期 标志 。 

一 个 完全 的 审计 应 该 包括 以 下 几 个 步骤 : 四 检查 系统 描述 的 标准 的 每 个 方面 ; 四 检查 
所 有 识别 的 威胁 ; 图 选择 一 个 审计 频率 ,可 以 是 每 天 、 每 星期 或 每 月 ; 田 检查 实际 操作 , 保 
证 与 写 的 准则 一 致 。 

大 部 分 用 户 操 作 由 许多 基本 行为 组 成 .比如 ,文件 复制 涉及 用 户 指 令 的 执行 ,包括 访问 
权限 验证 和 设置 复制 .从 文件 中 读 以 及 写 和 人 另 一 个 文件 。 下 面 给 出 了 一 条 指令 , 它 表 示 
Smith 从 当前 目录 将 文件 GAME 复制 到 过 Library 之 目录 : 

COPY GAME. EXE TO~Library>GAME. EXE 
可 能 会 产生 这 样 的 审计 记录 : 
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Smith execute =Library>COPY. EXE 0 CPU 一 00002 11058721678 
Smith read =Smith>COPY. EXE 0 RECORDS=0 11058721679 
Smith execute =Library>COPY. EXE write-viol RECORDS=0 11058721680 


当 Smith 没有 写 入 二 Library 二 的 许可 时 ,复制 被 取消 。 

将 用 户 的 操作 分 解 成 基本 行为 有 三 个 优点 : 

(1) 因为 客体 是 系统 中 被 保护 的 条 目 ,使 用 基本 行为 能 够 对 影响 客体 的 所 有 行为 进行 
审计 。 这 样 , 系 统 不 但 可 以 检测 出 试图 破坏 的 访问 控制 (通过 观察 大 量 返 回 的 异常 情形 的 反 
常 ) ,而 且 可 以 检测 出 破坏 成 功 的 访问 控制 (通过 观察 一 组 客体 访问 主体 的 反常 ) 。 

(2) 单个 客体 ,单个 行为 审计 记录 简化 了 模型 和 实现 。 

(3) 因为 简单 性 以 及 检测 明确 的 审计 记录 的 统一 结构 ,信息 的 获得 可 能 会 相对 容易 一 
些 , 至 少 一 部 分 可 以 直接 通过 存在 的 本 地 审计 记录 和 检查 明确 的 审计 记录 之 间 的 映射 得 到 。 


3.6 UNIX 安全 


UNIX 是 一 种 多 用 户 .多 任务 的 操作 系统 ,这 类 操作 系统 的 一 种 基本 功能 就 是 防止 使 用 
一 台 计 算 机 的 不 同 用 户 之 间 互 相干 扰 。 

UNIX 系统 具有 两 个 质 形 态 : 核心 态 和 用 户 态 。 运 行内 核 中 程序 的 进程 处 于 核心 态 ， 
运行 核 外 程序 的 进程 处 于 用 户 态 。 系 统 保 证 用 户 态 下 的 进程 只 能 存 取 它 自己 的 指令 和 数 
据 ,而 不 能 存 取 内 核 和 其 他 进程 的 指令 和 数据 ,并 且 保证 特权 指令 只 能 在 核心 态 执行 , 像 中 
断 、 异 常 等 在 用 户 态 下 不 能 使 用 。 用 户 程序 可 以 通过 系统 调用 进入 核心 ,运行 系统 调用 青 返 
回 用 户 态 。 系 统 调用 是 用 户 在 编写 程序 时 可 以 使 用 的 界面 ,是 用 户 程序 进入 UNIX 内 核 的 
唯一 入 口 。 因 此 ,用 户 对 系统 资源 中 信息 的 存 取 都 要 通过 系统 调用 才能 完成 。 一 旦 用 户 程 
序 通过 系统 调用 进入 内 核 , 便 完全 与 用 户 隔 离 .从 而 使 内 核 中 的 程序 对 用 户 的 存 取 请 求 进行 
响应 ,而 不 受用 户 干 扰 的 访问 控制 。 


3.6.1 UNIX 保护 体制 


UNIX 保护 体制 有 保护 态 和 一 组 能 够 使 进程 对 状态 进行 修改 的 操作 ,所 以 UNIX 是 
DAC 系统 。UNIX 保护 态 将 进程 身份 (主体 ) 与 它们 对 文件 的 访问 权限 (客体 ) 联 系 起 来 。 
每 个 UNIX 进程 身份 包括 一 个 用 户 id (UID), 一 个 组 id(GID) 以 及 一 个 附加 组 
(supplementary groups) 。 

所 有 的 UNIX 资源 都 表示 为 文件 。 保 护 态 使 用 这 些 操作 的 标准 含义 ,表明 主体 可 能 对 
文件 实施 读 、 写 和 执行 操作 。 当 目录 不 是 文件 时 ,它们 表示 的 是 UNIX 保护 态 中 的 文件 , 尽 
管 操作 有 不 同 的 语义 (如 执行 指 搜索 目录 )。 

文件 也 将 所 有 者 UID 与 所 有 者 GID 联系 起 来 ,并 传递 给 拥有 这 些 身 份 的 进程 。 一 个 
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拥有 所 有 者 UID 的 进程 能 够 修改 这 个 文件 保护 态 的 所 有 方面 。 拥 有 所 有 者 UID 或 所 有 者 
GID 的 进程 可 能 拥有 另外 的 对 文件 的 访问 权限 。 

客体 和 操作 的 有 限 性 使 得 UNIX 设计 者 使 用 压缩 的 访问 控制 列表 ( 称 为 UNIX 模式 
位 ) 来 说 明 主 体 对 文件 的 访问 权限 。 模 式 位 将 主体 的 权限 定义 为 三 类 : 文件 所 有 者 UID, 文 
件 组 GID 以 及 所 有 的 主体 。 使 用 模式 位 授权 的 执行 过 程 如 下 : 首先 ,UNIX 授权 机 制 检验 
进程 身份 的 UID 是 否 与 文件 的 所 有 者 UID 一 致 ,如 果 是 ,那么 使 用 所 有 者 的 模式 位 授权 ， 
如 果 进 程 身份 的 GID 或 者 附加 组 与 文件 的 组 GID 一 致 ,那么 使 用 组 权限 的 模式 位 ,否则 , 权 
限 被 分 配给 所 有 其 他 使 用 者 。 

举 一 个 例子 。UNIX 模式 位 的 形式 为 {所 有 者 位 ,组 位 ,其 他 位 } ,该 元 组 中 的 每 个 元 素 
包含 一 个 读 位 ,一 个 写 位 以 及 一 个 执行 位 。 模 式 位 : 


i 
表示 拥有 相同 的 所 有 者 UID 的 进程 能 够 读 、 写 或 者 执行 文件 ,拥有 与 文件 的 组 一 致 的 GID 
或 者 附加 组 的 进程 能 够 读 文 件 。 
假设 一 组 文件 拥有 下 列 的 所 有 者 、 组 以 及 描述 如 下 的 模式 位 : 
Name Owner Group Mode Bits 
foo Alice faculty rexr—r— 
bar Bob students IW-rw-r-— 
baz Charlie faculty IWXIWXIWX 


这 样 ,使 用 组 faculty 运行 的 进程 Alice 能 够 读 、 写 或 者 执行 foo 和 baz, 但 是 仅 能 够 读 bar。 
对 于 bar,Alice 与 UID(Bob) 不 匹配 ,也 与 组 (students) 无 联系 。 这 个 进程 由 合适 的 所 有 考 
来 获得 foo 的 所 有 特权 以 及 合适 的 组 来 获得 baz 的 特权 。 

如 上 所 述 ,UNIX 保护 体制 是 一 个 自主 访问 控制 体制 ,这 意味 着 文件 的 模式 位 .所 有 者 
UID .或 者 组 GID 都 可 能 被 文件 所 有 者 运行 的 任何 UNIX 进程 改变 (比如 与 文件 所 有 者 拥 
有 相同 的 UID) 。 如 果 相 信 所 有 的 用 户 进程 都 是 为 了 用 户 的 最 大 利益 ,那么 用 户 的 安全 目 
标 能 够 被 加 强 。 然 而 ,这 并 不 是 合理 的 假设 。 现 在 ,用 户 运行 各 种 各 样 的 进程 ,其 中 可 能 有 
些 是 黑客 提供 的 ,还 有 一 些 可 能 很 容易 被 黑客 攻破 ,所 以 用 户 无 法 保证 这 些 进 程 与 用 户 的 安 
全 目标 一 致 。 因 此 ,安全 操作 系统 不 能 使 用 自主 访问 控制 来 加 强 用 户 的 安全 目标 。 

安全 自主 访问 控制 允许 用 户 改 变 他 们 文件 的 所 有 者 UID 和 组 GID ,而 且 模式 位 和 文件 
标识 也 是 自主 的 。 一 个 安全 保护 体制 要 求 强制 标识 态 , 所 以 这 是 UNIX 系统 无 法 满足 安全 
操作 系统 的 另 一 个 原因 。 

UNIX 进程 通过 来 自 一 组 由 可 信 管 理 员 定义 的 标识 的 信任 服务 进行 标识 , 子 进程 继承 
父 进程 的 身份 。 这 种 使 用 身份 的 标识 进程 的 强制 法 能 够 满足 安全 保护 体制 的 要 求 , 不 过 这 
个 方法 的 灵活 性 差 。 

最 后 ,UNIX 模式 位 还 包括 保护 域 转换 的 具体 说 明 , 称 为 setuid 位 。 当 这 个 位 用 于 文件 
时 ,任何 执行 该 文件 的 进程 自动 实施 对 文件 的 所 有 者 UID 和 组 GID 的 保护 域 转换 。 比 如 ， 
如 果 root 进程 对 一 个 它 拥有 的 文件 设置 setuid 位 ,那么 任何 执行 这 个 文件 的 进程 都 会 以 
root UID 执行 。 因 为 setuid 位 是 一 个 模式 位 , 它 能 够 被 文件 的 所 有 者 设置 ,所 以 它 也 可 以 
用 自主 方式 管理 。 一 个 安全 的 保护 态 要 求 强 制 转换 态 描 述 所 有 的 保护 域 转换 ,所 以 自主 
setuid 位 的 使 用 无 法 满足 要 求 。 
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3.6.2 UNIX 授权 


UNIX 授权 机 制 控制 每 个 进程 对 文件 的 访问 ,并 实施 保护 域 转换 使 得 进程 能 够 改变 它 
的 身份 。 授 权 机 制 在 内 核 运行 ,但 是 它 依赖 于 系统 和 用 户 进程 来 决定 它 的 授权 请 求 和 保 
护 态 。 

当 文 件 打 开 时 ,UNIX 授权 会 发 生 , 每 次 访问 文件 时 验证 允许 对 文件 的 操作 。 请 求 进程 
提供 文件 名 和 对 文件 的 操作 ,如 果 授 权 ,UNIX 创建 一 个 文件 描述 符 来 表示 授予 进程 的 权限 
(实施 将 来 对 文件 的 操作 )。 文 件 描 述 符 存储 在 内 核 中 , 仅 返 回 给 进程 一 个 索引 。 这 样 ,文件 
描述 符 是 能 力 表 的 形式 。 当 用 户 请 求 对 他 们 打开 的 文件 进行 操作 时 ,用 户 进程 表示 它们 对 
内 核 的 文件 描述 符 索 引 。 

UNIX 授权 通过 仲裁 打开 文件 的 读 、 写 和 执行 权限 控制 传统 的 文件 操作 。 然 而 ,这 些 权 
限 的 使 用 并 不 总 是 达到 期 望 的 效果 : 四 这 些 权 限 和 它们 的 语义 并 不 总 能 满足 控制 ; 四 一 些 
客体 不 表示 文件 ,所 以 它们 不 能 仲裁 。 如 果 用 户 拥有 对 文件 的 读 权 ,这 足够 他 对 文件 实施 除 
了 读 以 外 的 各 种 操作 。 比 如 ,拥有 文件 描述 符 ,用 户 进程 使 用 系统 请 求 ioctl 或 者 fcntl 以 及 
读 和 修改 元 数据 ,能 够 实施 任何 对 文件 的 特别 指令 。 此 外 ,UNIX 不 仲裁 所 有 的 安全 敏感 客 
体 , 比 如 网 络 通信 。 主 机 防火 墙 提供 网 络 通信 的 某 种 控制 ,但 是 它们 不 通过 进程 身份 限制 网 
络 通 信 。 

UNIX 授权 机 制 依赖 于 用 户 级 别 的 授权 服务 (如 登录 和 sshd) 来 确认 进程 身份 (UID， 
GID 和 附加 组 )。 当 用 户 登 录 系 统 时 ,他 的 进程 被 分 配给 他 的 登录 身份 。 除 非 有 一 个 域 转 
换 , 和 否则 所 有 这 次 登录 过 程 中 创建 的 进程 继承 这 个 身份 。 这 样 的 用 户 级 别 的 服务 也 需要 
root 特权 来 改变 进程 的 身份 ,所 以 它们 使 用 特别 的 UID 运行 。 不 过 ,一 些 UNIX 服务 需要 
作为 root 运行 来 获得 执行 任务 所 需要 的 特权 、 访 问 系统 文件 和 目录 、 改 变 文件 许可 等 。 这 
些 服务 中 的 某 些 对 于 改正 UNIX 授权 的 操作 很 重要 ,比如 sshd 和 passwd, 但 是 其 他 的 就 没 
那么 重要 了 ,比如 inetd 和 ftp。 尽 管 如 此 ,UNIX 系统 的 可 信 计 算 基 必须 包含 所 有 的 root 
进程 ,否则 会 给 安全 关键 服务 和 内 核 本 身 带 来 风险 。 

UNIX 保护 域 转换 是 通过 setuid 机 制 实现 的 。 有 两 种 方式 使 用 setuid: root 进程 发 
起 setuid 系统 请 求 来 改变 进程 的 UID; @ 文 件 使 用 它 的 setuid 模式 位 ,这 样 任何 时 候 执 行 
文件 时 ,文件 的 身份 都 设置 为 文件 所 有 者 。 第 一 种 情况 下 ,特权 进程 (如 登录 和 sshd) 能 够 
改变 进程 的 身份 。 比 如 , 当 用 户 登 录 时 ,登录 程序 必须 改变 用 户 第 一 个 进程 的 进程 身份 以 及 
他 的 shell, 以 保证 正确 的 访问 控制 。 第 二 种 情况 下 ,文件 的 setuid 位 一 般 用 来 许可 低 特权 
条 目 执行 高 特权 程序 ,此 时 几乎 都 是 作为 root 使 用 的 。 比 如 , 当 用 户 和 希望 改变 他 的 口令 时 ， 
他 使 用 passed 程序 。 因 为 passwd 程序 修改 口令 文件 . 它 必须 具有 特权 ,所 有 使 用 用 户 的 身 
份 运行 的 程序 不 能 改变 口令 文件 。 为 root 所 有 的 ,passed 执行 的 文件 设置 setuid 位 , 当 任 
何 用 户 执 行 passwd 时 ,由 此 产生 的 进程 身份 转换 为 root。 当 身份 转换 不 影响 用 户 的 其 他 进 
程 时 ,passed 程序 的 写 方 必须 禁止 程序 允许 用 户 控制 passed 怎样 使 用 它 附加 的 特权 。 

UNIX 也 有 一 对 机 制 可 以 使 得 用 户 使 用 减少 的 许可 运行 进程 。 但 是 ,这 些 机 制 很 难 正 
确 使 用 ,也 仅 对 root 进程 可 用 .而且 仅 能 进行 适当 的 限制 。 首 先 ,UNIX 系统 有 一 个 特殊 的 
主体 nobody, 它 不 拥有 任何 文件 ,也 不 属于 任何 组 。 因 此 ,进程 的 许可 仅 限 于 nobody 运行 ， 
因为 它 永 远 没 有 所 有 者 和 组 特权 。 不 幸 的 是 ,nobody 和 所 有 的 主体 一 样 , 有 其 他 的 特权 。 


70 计算 机 系统 安全 教程 


而 且 , 因 为 仅 root 能 够 设置 setuid, 只 有 超级 用 户 进程 能 够 改变 nobody 的 进程 身份 。 其 次 ， 
UNIX 可 以 使 用 chroot 限制 进程 对 文件 系统 子 树 的 访问 。 这 样 , 进 程 仅 能 访问 它 子 树 的 文 
件 。 不 幸 的 是 ,必须 设置 chroot 环境 来 防止 进程 逃避 受 限 的 域 。 比 如 ,如 果 攻 击 者 能 够 创 
建 子 树 的 /etc/passwd 和 /etc/shadow 文件 ,那么 他 能 够 添加 一 个 root 条 目 , 作 为 root 登 
录 ,避免 chroot 环境 (使 用 root 访问 内 核 )。 而 且 , 一 个 chroot 环境 仅 能 由 root 进程 设置 ， 
所 有 一 般 的 系统 用 户 都 不 可 用 。 实 际 上 ,这些 方 法 都 不 是 限制 进程 权限 的 有 效 方 法 。 


3.6.3 UNIX 安全 分 析 


如 果 UNIX 是 一 个 安全 操作 系统 , 它 必 须 满足 安全 操作 系统 的 要 求 , 但 是 ,下 面 这 些 要 
求 UNIX 不 满足 。 

(1) 完全 仲裁 : 访问 监控 保证 (the reference monitor guarantees) 如 何 保 证 所 有 的 安全 
敏感 操作 都 被 正确 仲裁 ? 

UNIX 访问 监控 保证 由 钩 组 成 ,它们 检查 文件 访问 权 或 者 系统 请 求 的 索引 节点 许可 。 
UNIX 访问 监控 保证 授权 对 客体 (内 核 在 它 的 操作 中 使 用 ) 的 访问 权 。 

问题 是 UNIX 操作 ( 读 、 写 和 执行 ) 有 限 集 无 法 表达 所 有 的 访问 控制 信息 ,UNIX 不 需要 
写 权 限 就 允许 修改 文件 (如 fcntl) 。 

(2) 完全 仲裁 : 访问 监控 保证 对 所 有 的 安全 敏感 操作 进行 仲裁 吗 ? 

UNIX 授权 不 提供 对 所 有 系统 资源 的 完全 的 仲裁 。 对 于 某 些 客体 ,比如 网 络 通信 ， 
UNIX 本 身 完全 不 提供 授权 。 

(3) 完全 仲裁 : 我 们 怎样 验证 访问 监控 保证 提供 了 完全 仲裁 ? 

因为 UNIX 访问 监控 保证 被 安置 于 被 实施 的 安全 敏感 操作 ,很 难 知道 是 否 所 有 的 操作 
都 被 标识 以 及 所 有 的 路 径 都 被 仲裁 。 没 有 有 具体 的 方法 被 用 来 验证 完全 仲裁 。 

(4) 预防 算 改 : 修改 时 系统 怎样 保护 访问 监控 器 ,包括 它 的 保护 体系 ? 

访问 监控 器 和 保护 体制 都 存储 在 内 核 中 ,但 是 这 不 能 保证 防止 算 改 。 首 先 , 保 护 体制 是 
自主 的 ,所 以 它 可 能 被 任何 运行 的 程序 自 改 。 非 信任 的 用 户 进 程 能 够 随意 修改 它们 的 用 户 
数据 许可 ,所 以 加 强 用 户 数据 的 安全 目标 是 不 可 能 的 。 

其 次 ,UNIX 内 核 不 受 非 信任 用 户 进 程 的 保护 。 虽 然 UNIX 使 用 保护 环 进行 隔离 ,但 是 
UNIX 内 核 常常 提供 程序 验证 系统 请 求 的 参数 ,这 样 程序 可 能 被 放 错 位 置 。 

最 后 ,用 户 级 别 的 进程 有 各 种 各 样 的 接口 访问 和 修改 内 核 本 身 而 不 需要 系统 请 求 , 包 括 
通过 netlink 套 接口 安装 内 核 模 块 到 具体 的 系统 文件 (如 /proc 或 者 sysfs) 的 接口 ,以 及 直接 
访问 核心 内 存 ( 如 通过 设备 文件 /dev/kmem)。 保 证 这 些 接口 仅 能 被 可 信人 代码 访问 就 变 得 
不 实际 了 。 

(5) 预防 算 改 : 系统 的 保护 体系 保护 可 信 计 算 基 程序 吗 ? 

UNIX 可 信 计 算 基 CTCB) 由 所 有 的 root 进程 组 成 ,包括 所 有 的 以 root 用 户 登 录 的 用 户 
运行 的 进程 。 因 为 这 些 进程 能 够 运行 任何 程序 ,保证 TCB 不 被 自 改 是 不 可 能 的 。 即 使 忽略 
root 用 户 ,TCB 代码 的 数量 也 太 大 了 ,要 求 一 个 预防 算 改 的 可 信 计 算 基 需要 面 对 更 多 的 威胁 。 
比如 ,一 些 root 进程 有 开放 的 网 络 端口 ,它们 可 能 被 用 来 作为 破坏 进程 的 通道 。 如 果 这 些 进 程 
中 的 任何 一 个 被 攻破 了 ,UNIX 系统 也 就 被 攻破 了 ,因为 root 进程 中 没有 任何 有 效 的 保护 。 

此 外 ,任何 root 进程 都 能 修改 保护 体制 的 任何 方面 。UNIX 的 root 进程 可 能 无 法 完全 
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信任 或 保护 ,所 有 保护 体制 的 未 授权 的 修改 是 可 能 的 。 因 此 ,在 UNIX 系统 中 不 能 依赖 于 
预防 算 改 保护 体制 。 

(6) 可 证 明 : 系统 的 可 信 计 算 基 的 正确 性 的 根据 是 什么 ? 

UNIX 系统 的 任何 正确 性 的 基础 都 是 不 规范 的 。TCB 的 无 限 大 小 阻止 了 任何 有 效 的 
形式 化 证 明 。 不 仅 如 此 ,内 核 的 大 小 和 可 扩展 的 属性 (如 新 的 设备 驱动 和 其 他 内 核 模块 ) 也 
使 得 无 法 验证 它 的 正确 性 。 

(7) 可 证 明 : 保护 体系 加 强 了 系统 的 安全 目标 吗 ? 

安全 目标 的 可 验证 性 的 加 强 是 不 可 能 的 ,因为 缺少 完全 仲裁 和 预防 自 改 。 因 为 不 能 用 
一 种 很 好 的 策略 来 防止 未 授权 数据 泄漏 和 修改 ,所 以 我 们 不 能 加 强 安全 内 核 的 机 密 性 和 完 
整 性 。 因 为 不 能 证 明 TCB 能 够 防止 被 攻击 ,所 以 不 能 证 明 系 统 是 一 直 在 加 强 我 们 想 要 达到 
的 安全 目标 ,即使 它们 能 够 很 好 地 表示 。 


3.6.4 UNIX 漏洞 


安全 操作 系统 必须 保护 它 的 可 信 计 算 基 被 破坏 ,这 样 也 是 为 了 保证 安全 检测 的 实施 。 
下 面 我 们 将 列 出 UNIX 系统 的 一 些 导致 UNIX 的 可 信 计 算 基 被 破坏 的 安全 漏洞 。 

1. 网 络 守 护 进 程 

UNIX 有 一 些 root( 如 TCB) 进 程 能 够 保持 网 络 端口 对 所 有 的 远程 控制 方 开放 (如 
sshd,ftpd,sendmail 等 ) , 称 为 网 络 守 护 进程 Cnetwork-facing daemons)。 为 了 保护 系统 的 
可 信 计 算 基 的 完整 性 ,确保 实现 访问 监控 ,这 样 的 进程 必须 免 受 攻击 。 然 而 ,这 些 进程 存在 
一 些 漏洞 ,容易 受到 缓冲 区 溢出 的 攻击 , 它 使 得 远程 攻击 者 能 够 攻击 系统 的 TCB。 这 些 守 
护 进 程 已 经 被 重新 设计 以 避免 这 样 的 攻击 (如 Postfix 取代 了 sendmail 和 特权 分 离 的 
SSH) ,但 是 修改 后 的 保护 进程 不 提供 完全 的 完整 性 保护 。 这 样 ,UNIX 中 网 络 守 护 进 程 的 
完整 性 保护 就 变 得 不 全 面 且 很 特别 。 

此 外 ,一 些 网 络 守 护 进程 ,比如 远程 登录 守护 进程 (如 telnet,rlogin 等 )ftpd 和 NFS, 它 
们 在 网 络 中 设置 了 可 取消 的 信任 。 远 程 登录 守护 进程 和 ftpd 都 因为 以 明文 形式 传送 口令 
而 臭名 上 昭著。 幸运 的 是 ,这 样 的 守护 进程 已 经 过 时 了 ,它们 已 被 新 的 安全 版 本 取代 (如 
vxftpd 取代 ftpd)。 同 样 ,NFS 因为 把 任何 远程 文件 系统 的 请 求 的 响应 都 作为 合法 服务 器 
的 响应 来 接收 而 名 声 很 坏 。 网 络 守 护 进 程 还 必须 保护 它们 秘密 的 完整 性 和 认证 远程 数据 资 
源 ,这 些 数 据 的 完整 性 对 进程 很 重要 。 

2. 隐藏 软件 

现代 UNIX 系统 支持 扩展 ,通过 可 被 直接 装 入 内 核 中 的 内 核 模块 实现 。 然 而 ,恶意 模 
块 可 能 使 得 攻击 者 能 够 使 用 完全 的 系统 特权 执行 内 核 中 的 代码 。 隐 藏 软件 (rootkit) 是 各 种 
各 样 的 恶意 软件 包 ,它们 能 够 利用 内 核 模块 的 载 人 或 者 其 他 内 核 接口 使 用 root 进程 。 这 样 
的 rootkit 能 够 帮助 攻击 者 进行 攻击 , 且 提供 了 入 侵 的 措施 。 尽 管 采用 了 很 多 方法 来 检测 内 
核 中 的 恶意 软件 ,但 是 这 样 的 rootkit 一 般 很 难 检测 到 。 

3. 环境 变量 

UNIX 系统 支持 环境 变量 (environment variables) .即使 得 进程 能 够 通过 应 用 程序 传递 
变量 的 系统 变量 。LIBPATH 就 是 这 样 的 一 个 变量 , 它 的 值 决定 了 动态 库 的 搜索 顺序 。 一 
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个 常见 的 漏洞 是 攻击 者 能 够 改变 LIBPATH, 从 而 将 攻击 者 提供 的 文件 载 入 作为 动态 库 。 
因为 当 子 进程 被 创建 时 ,环境 变量 被 继承 ,所 以 非 信 任 进程 能 够 在 非 授 权 环 境 中 请 求 TCB 
程序 。 如 果 TCB 进程 依赖 于 动态 库 , 自 己 不 设置 LIBPATH , 它 可 能 很 容易 运行 恶意 代码 。 
因为 很 多 TCB 程序 能 够 通过 setuid 请 求 , 这 是 一 个 普遍 的 问题 。 

此 外 ,TCB 程序 可 能 受到 任何 非 信任 进程 提供 的 输入 值 的 攻击 ,比如 恶意 输入 的 参数 
和 多 个 程序 允许 请 求 者 定义 进程 的 配置 文件 。 配置 文 件 一 般 描述 所 有 的 其 他 部 分 ,程序 应 
该 寻找 输入 来 描述 它 怎 样 运行 ,有 时 包括 它 需 要 使 用 的 库 的 位 置 和 提高 网 络 信 息 的 主机 的 
位 置 。 如 果 攻 击 者 能 够 控制 程序 配置 文件 的 选择 ,他 常常 有 很 多 方法 攻击 运行 的 进程 。 任 
何 TCB 程序 必须 保证 它们 的 完整 性 而 不 管 它们 的 请 求 方式 。 

4. 共享 资源 

如 果 TCB 进程 使 用 非 信任 进程 共享 资源 (shared resources) ,那么 它们 可 能 很 容易 受到 
攻击 。 常 见 的 问题 是 /tmp 库 的 共享 。 因 为 任何 进程 都 能 够 在 这 个 目录 下 创建 文件 ,所 以 非 
信任 进程 能 够 在 这 个 目录 下 创建 文件 并 授权 其 他 进程 ,甚至 一 个 TCB 进程 也 能 访问 这 样 的 
文件 。 如 果 非 信任 进程 能 够 猜测 TCB 进程 的 /tmp 文件 的 名 字 , 它 便 能 够 创建 这 个 文件 , 授 
予 这 个 TCB 进程 的 访问 权限 ,然后 使 自己 访问 TCB 文件 。 创 建 时 检查 是 否 存在 这 样 的 文 
件 ( 如 使 用 O_CREAT 标志 ) ,TCB 进程 能 够 防止 这 个 问题 。 然 而 ,程序 员 常 常 忘记 这 些 防 
护 。 当 使 用 任何 非 信 任 进程 共享 的 客体 时 ,TCB 进程 必须 提高 警惕 。 

5. 时 差 攻 击 

UNIX 易 受 到 各 种 攻击 ,此 时 非 信 任 进 程 可 能 在 授权 操作 与 实施 操作 之 间 改 变 系 统 状 
态 。 如 果 这 样 的 改变 使 得 非 授权 进程 访问 未 获得 授权 的 文件 ,就 出 现 了 一 个 漏洞 。 这 个 攻 
击 是 由 Dilger 和 Bishop 首先 提出 的 ,他 们 称 这 种 攻击 为 时 差 攻 击 (time-of-check-to-time- 
of-use attacks) 。 举 一 个 例子 ,root 进程 使 用 系统 请 求 access 来 决定 进程 正在 运行 的 用 户 是 
否 可 以 访问 文件 /tmp/X。 然 而 ,在 access 系统 请 求 授予 文件 访问 权 后 ,在 文件 打开 前 ,用 户 
可 能 改变 文件 名 与 实际 访问 的 文件 客体 (如 inode) 的 关联 ,他 可 能 将 文件 /tmp/X 改变 为 链 
接 到 目标 文件 /etc/shadow。 不 过 ,UNIX 文件 系统 允许 时 差 攻击 ,因为 匹配 文件 名 和 实际 
的 文件 客体 (inodes) 可 能 被 非 信任 进程 实施 。 

因为 自主 保护 体制 ,系统 TCB 的 大 小 ,以 及 这 些 攻击 ,将 UNIX 系统 转变 为 安全 操作 
系统 是 一 个 很 重要 的 挑战 。 确 保 TCB 进程 保护 它们 自身 ,从 而 防止 访问 监测 器 被 自 改 是 很 
复杂 的 ,因为 非 信 任 进程 能 够 控制 TCB 进程 怎样 请 求 并 以 多 种 方式 提供 输入 : 网 络 、 环 境 
和 参数 。 此 外 , 非 信 任 进程 可 能 使 用 系统 接口 操作 任何 共享 资源 ,甚至 可 能 改变 客体 名 和 实 
际 的 客体 之 间 的 关联 。 虽 然 已 经 做 了 很 多 工作 来 克服 这 些 缺 陷 , 但 是 UNIX 系统 的 复杂 性 
以 及 它们 的 可 信 计 算 基 也 使 得 很 难 满足 访问 监测 概念 中 防 算 改 和 可 证 明 的 要 求 。 


3.7 Windows 安全 


这 一 节 将 详细 描述 Windows 访问 控制 系统 。 与 UNIX 一 样 , Windows 操作 系统 也 不 
满足 安全 操作 系统 的 要 求 。 
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3.7.1 Windows 保护 体制 


Windows 2000 保护 体制 ,与 UNIX 保护 体制 一 样 ,提供 无 条 件 访问 控制 模型 来 管理 保 
护 状态 、 客 体 分 类 ,以 及 主要 的 转化 。 这 两 种 保护 系统 的 不 同 在 于 灵活 性 (Windows 体制 可 
扩展 ) 与 表达 能 力 (Windows 体制 能 够 描述 更 多 的 策略 )。 然 而 ,在 将 Windows 保护 体制 与 
安全 保护 体制 的 定义 进行 比较 时 ,可 以 发 现 虽然 Windows 体制 提高 了 灵活 性 和 表达 能 力 ， 
但 却 使 得 它 的 系统 安全 更 难 实现 。 

具体 地 说 ,Windows 保护 体制 与 UNIX 的 不 同 主要 是 客体 .操作 以 及 它 分 配给 主体 的 
额外 的 灵活 性 的 不 同 。 当 Windows 2000 访问 控制 模型 被 发 展 时 ,各 种 不 同 的 安全 也 在 被 
发 展 , 它 们 提供 管理 员 扩展 的 策略 语言 ,这 种 语言 允许 灵活 的 策略 说 明 , 如 Java 2 模型 。 这 
些 模型 能 够 表示 所 有 的 保护 态 ,解决 了 UNIX 模型 的 一 些 缺 陷 , 但 它们 并 不 保证 系统 的 
安全 。 

Windows 中 的 主体 与 UNIX 的 主体 相似 。Windows 分 配给 每 个 进程 一 个 令 牌 来 描述 
进程 的 身份 。 进 程 的 身份 有 用 户 安全 鉴别 者 (主要 的 SID, 类 似 于 UNIX UID)、 组 SID( 不 
是 单个 UNIX GID 和 很 多 附加 的 组 ) .冒名 SID( 能 够 以 其 他 身份 活动 ) ,以 及 特权 ( 特 设 的 特 
权 只 与 这 个 令 牌 有 关 )。Windows 的 身份 仍然 与 单个 用 户 身份 相关 ,但 是 用 户 的 进程 令 牌 
[能 包含 权限 的 所 有 组 合 。 

与 UNIX 不 同 , Windows 客体 能 够 有 除了 文件 的 许多 不 同 的 数据 类 型 。 事实 上 ,应 用 
可 能 定义 新 的 数据 类 型 ,并 且 将 它们 添加 进 活动 目录 中 ,系统 知道 所 有 客体 的 层次 名 字 空 
间 。 从 访问 控制 角度 看 ,客体 类 型 是 由 它们 的 操作 定义 的 。Windows 模型 也 支持 客体 类 型 
进行 操作 。Windows 为 每 个 客体 类 型 定义 多 达 30 个 操作 ,包括 一 些 针 对 数据 类 型 的 具体 
操作 。 与 UNIX 保护 态 的 读 、 写 和 执行 操作 相 比 ,这 显而易见 。 即 使 是 文件 客体 , Windows 
保护 体制 也 定义 了 许多 操作 ,比如 访问 文件 属性 的 操作 和 使 文件 同步 的 操作 。 另 外 ,应 用 可 
能 添加 新 的 客体 类 型 ,定义 它们 自己 的 操作 。 

Windows 与 UNIX 保护 态 之 间 其 他 的 不 同 主要 是 Windows 支持 自主 访问 控制 列表 
(Arbitrary Access Control Lists, ACLs) ,而 不 是 UNIX 的 有 限 的 模式 位 法 。 一 个 Windows 
的 ACL 存储 一 组 访问 控制 项 (Access Control Entries,ACEs) ,描述 一 个 SID( 用 户 ,组 或 假 
名 ) 能 够 对 客体 执行 哪些 操作 。ACE 的 操作 基于 目标 客体 的 客体 类 型 ,在 Windows 中 ， 
ACE 可 能 授权 也 可 能 拒绝 否认 一 个 操作 。 与 UNIX 不 同 , Windows 使 用 的 是 消极 的 访问 
权限 ,因此 ,它们 的 认证 机 制 有 一 些 区 别 。 


= 


3.7.2 Windows 授权 


Windows 授权 请 求 是 由 一 个 称 为 安全 访问 监控 器 (Security Reference Monitor, SRM) 
的 部 件 处 理 的 。SRM 是 一 个 核心 部 件 , 带 有 进程 令 牌 ,一 个 客体 SID ,一 组 操作 , 它 返 回 认 
证 查询 的 真 假 结 果 。SRM 使 用 对 象 SID 从 它 决 定 的 查询 结果 中 检索 它 的 ACL。 

因为 消极 的 许可 ,SRM 处 理 认 证 查询 的 方式 比 UNIX 中 更 为 复杂 。 主 要 的 不 同 在 于 
ACL 中 的 ACE 是 按照 一 定 顺序 的 ,ACE 按照 那个 顺序 被 检查 。SRM 搜索 ACE 直到 它 发 
现 一 组 允许 这 个 操作 的 ACE 或 一 个 拒绝 这 个 操作 的 ACE。 如 果 ACE 授权 必需 的 操作 , 那 
么 这 个 请 求 是 被 授权 的 。 然 而 ,如 果 遇 到 一 个 拒绝 的 ACE( 包 括 某 个 请 求 操 作 ) ,那么 所 有 
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的 请 求 都 被 拒绝 。 

Windows 的 仲裁 是 由 一 组 对 象 管理 器 决定 的 。 与 UNIX 中 请 求 访问 同类 对 象 的 体系 
不 同 ,Windows 中 的 每 个 对 象 类 型 都 有 一 个 执行 该 类 型 的 函数 的 对 象 管理 器 。 从 模块 化 角 
度 来 看 ,这 是 很 有 利 的 ,但 是 事实 是 对 象 管理 器 可 能 扩展 系统 ,这 就 会 给 仲裁 带 来 一 些 挑 战 。 
我 们 需要 知道 每 个 新 的 对 象 管理 器 仲裁 所 有 的 操作 ,并 决定 这 些 操 作 的 权限 , Windows 中 
是 没有 能 够 保证 这 一 点 的 进程 。 

Windows 可 信 计 算 基 由 所 有 的 系统 服务 和 作为 可 信用 户 运行 的 程序 (如 管理 员 ) 组 成 。 
Windows 提供 一 组 类 似 uid 的 机 制 请 求 事先 定义 了 权限 的 Windows 服务 ,至少 足 够 支持 所 
有 的 客户 。 否 则 ,这 些 服 务 的 脆弱 性 就 会 导致 系统 崩溃 。 此 外 ,软件 的 易 安装 性 和 无 条 件 的 
Windows 访问 控制 模型 的 复杂 性 常常 导致 用 户 以 管理 员 的 身份 操作 。 这 种 情况 下 ,任何 用 
户 程序 都 能 够 控制 系统 。 这 是 Windows 系统 常见 的 问题 。 随 着 Windows Vista 的 发 布 ， 
Windows 模型 被 扩展 ,能 够 阻止 程序 从 Internet 下 载 .自动 写 入 Windows 应 用 和 Windows 
系统 ,而 不 管用 户 的 进程 身份 。 虽 然 这 提供 完整 性 保护 , 它 不 能 完全 地 保护 系统 的 完整 性 。 
它 阻 止 低 完整 性 的 进程 写 入 高 完整 性 的 文件 ,但 是 不 阻止 请 求 、 恶 意 请 求 或 者 使 用 低 完整 性 
的 文件 欺骗 高 完整 性 的 代码 。 

Windows 也 提供 限制 灵活 使 用 进程 的 方法 , 称 为 受 限 上 下 文 (restricted contexts)。 通 
过 为 进程 定义 一 个 受 限 的 上 下 文 ,执行 一 个 操作 的 很 重要 的 权限 是 必须 对 使 用 它 的 令 牌 的 
进程 以 及 受 限 上 下 文 可 用 。 即 受 限 上 下 文中 运行 进程 的 权限 是 受 限 上 下 文 和 进程 一 般 权 限 
的 交集 。 因 为 一 个 受 限 上 下 文 可 能 被 分 配 一 组 任意 的 权限 ,这 个 机 制 比 无 人 运行 的 UNIX 
选择 灵活 多 了 。 而 且 , 因 为 受 限 上 下 文 设 在 访问 控制 系统 中 ,与 UNIX 的 chroot 相 比 , 易 出 
错 的 概率 降低 了 。 然 而 ,管理 员 很 难 正确 定义 受 限 的 上 下 文 , 所 以 受 限 上 下 文 不 经 常 被 用 户 
群体 使 用 。 


3.7.3 Windows 安全 分 析 


尽管 Windows 访问 控制 模型 提供 额外 的 表达 力 ,但 是 它 也 不 能 满足 任何 的 访问 监控 保 
证 (the reference monitor guarantees) 。 虽 然 Windows 能 够 表达 任何 权限 间 的 关联 ,但 是 这 
对 于 管理 员 来 说 更 加 困难 。 几 乎 没有 用 户 使 用 Windows 许可 模型 ,但 是 大 多 数 用 户 至 少 知 
道 怎样 使 用 UNIX 模型 (尽管 不 都 是 正确 的 )。Windows 并 不 比 一 般 的 UNIX 更 安全 ,它们 
都 是 不 安全 的 。 

(1) 完全 仲裁 : 访问 监控 保证 如 何 保证 所 有 的 安全 敏感 操作 被 正确 仲裁 呢 ? 

在 Windows 中 ,仲裁 是 由 对 象 管 理 器 员 提 供 的 ,没有 资源 码 , 很 难 知道 在 哪里 执行 仲 
裁 , 但 是 假设 同 UNIX 相似 ,对 象 管理 器 授权 给 使 用 于 安全 敏感 操作 的 实际 对 象 。 

(2) 完全 仲裁 : 访问 监控 保证 对 所 有 的 安全 敏感 操作 进行 仲裁 吗 ? 

对 象 管理 器 提供 完全 仲裁 的 机 会 ,但 是 不 提供 没有 保障 的 仲裁 。 此 外 ,一 组 管理 器 可 能 
被 扩展 ,导致 潜在 的 不 安全 管理 器 的 增加 。 如 果 没 有 一 个 规范 的 方法 来 定义 每 个 管理 器 做 
什么 、 怎 样 才能 不 受 攻击 ,提供 完全 仲裁 的 保障 是 不 可 能 的 。 

(3) 完全 仲裁 : 我 们 怎样 验证 访问 监控 保证 提供 了 完全 仲裁 ? 

对 UNIX 而 言 ,没有 有 具体 的 方法 被 用 来 验证 完全 仲裁 。 

(4) 预防 算 改 : 修改 时 系统 怎样 保护 访问 监控 器 ,包括 它 的 保护 体系 ? 
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受到 干扰 时 ,Windows 遇 到 与 UNIX 一 样 的 问题 。 首 先 ,保护 体系 是 无 条 件 的 ,所 以 它 
可 能 受到 任何 运行 进程 的 干扰 。 非 信任 的 用 户 进程 可 能 随意 修改 它们 的 用 户 数据 的 访问 权 
限 , 所 以 加 强 用 户 数据 的 安全 目标 是 不 可 能 的 。 因 为 用 户 常 常 以 管理 员 身 份 登录 来 缓解 系 
统管 理 ,保护 体系 的 各 个 方面 都 可 能 被 修改 。 第 二 ,内 核 本 身 有 受 限 保护 。 与 UNIX 相同 ， 
一 个 Windows 内 核 可 能 通过 内 核 模块 被 修改 。 在 Microsoft Vista 中 ,一 个 代码 签名 过 程 
可 能 被 用 来 确定 内 核 模块 (比如 ,签名 者 ,不 一 定 是 模块 的 写 入 方 ) 的 证 明 者 。 当 然 ,管理 员 
(一 般 是 终端 用 户 ) 必 须 能 够 确定 签名 者 的 可 信赖 性 。 取 决 于 用 户 决 策 的 安全 程序 常常 会 失 
败 , 因 为 用 户 常 常 忽略 这 些 决策 的 安全 含义 。 而 且 . 与 UNIX 类 似 , Windows 内 核 也 不 能 按 
照 系统 要 求 定义 保 护 。 

(5) 预防 算 改 : 系统 的 保护 体系 保护 可 信 计 算 基 础 程序 吗 ? 

Windows 系统 的 可 信 计 算 基 (TCB) 与 UNIX 差不多 。 几 乎 任何 程序 都 可 能 是 
Windows 的 TCB 的 一 部 分 ,而 且 任何 运行 这 些 程序 的 进程 都 可 以 修改 其 他 的 TCB 程序 使 
其 无 效 。 

与 UNIX 一样, 任何 被 盗用 的 TCB 进程 都 可 以 修改 保护 体系 使 得 系统 全 目标 的 强化 
部 分 无 效 , 并 且 通 过 提供 给 TCB 进程 访问 内 核 状 态 的 各 种 接口 修改 Windows 内 核 本 身 。 

不 同 于 UNIX,Windows 提供 API 簧 改 其 他 进程 CUNIX 没有 这 种 功能 )。 举 一 个 例 
子 ,Windows 提供 CreateRemoteThread 函数 ,这 个 函数 可 以 在 其 他 进程 中 开始 一 个 线程 。 
Windows 也 提供 写 人 进程 存储 器 的 函数 (OpenProcess 和 WriteProcess-Memory) ,所 以 一 
个 进程 也 可 以 在 另 一 个 进程 开始 一 个 线程 之 前 向 那个 进程 中 写 人 所 要 求 的 代码 。 然 而 所 有 
这 些 操作 都 要 求 一 定 的 访问 其 他 进程 的 权限 ,通常 需要 改变 调试 一 个 进程 所 必需 的 权限 ( 通 
过 AdjustTokenPrivileges 函数 )。 这 些 特权 一 般 仅仅 对 SID 相同 的 进程 可 用 ,必须 证 实 这 
些 特权 不 被 滥用 ,从 而 保证 我 们 的 TCB 不 被 算 改 。 

(6) 可 证 明 : 系统 的 可 信 计 算 基 础 的 正确 性 的 根据 是 什么 ? 

对 UNIX 而 言 ,任何 正确 性 的 根据 都 是 不 规范 的 。Windows 也 有 一 个 无 限 TCB 和 可 
扩展 的 内 核 系 统 , 它 们 防止 任何 有 效 的 形式 化 证 明 。 

(7) 可 证 明 : 保护 体系 加 强 了 系统 的 安全 目标 吗 ? 

一 般 的 Windows 模型 可 以 对 访问 权限 的 组 合 进 行 具体 说 明 , 但 是 这 种 系统 中 没有 定义 
任何 特殊 的 安全 目标 。 这 样 ,一 个 系统 是 否 安全 是 不 可 能 知道 的 ,因为 这 个 模型 比 UNIX 
模型 更 复杂 , 它 可 以 随意 扩展 ,这 使 得 安全 的 验证 也 更 困难 。 


3.7.4 Windows 漏洞 

由 于 Windows 自身 的 局 限 性 , Windows 有 和 UNIX 系统 相同 的 漏洞 。 这 里 将 对 
Windows 系统 特有 的 以 及 在 Windows 系统 中 更 为 深奥 的 一 些 漏洞 进行 描述 。 

1. Windows 注册 表 


Windows 注册 表 是 一 个 存储 所 有 程序 的 数据 的 完整 的 分 层 数据 库 。 当 一 个 新 的 应 用 
程序 被 下 载 时 ,注册 表 可 能 被 更 新 为 特定 的 应 用 程序 ,比如 安全 敏感 信息 (访问 库 的 路 径 以 
及 为 应 用 程序 下 载 的 可 执行 文件 )。 每 个 注册 项 都 有 一 个 与 之 相连 的 限制 访问 的 安全 上 下 
文 , 所 以 一 般 不 能 有 效 地 使 用 这 些 限制 。 比 如 ,AOL 的 标准 配置 添加 了 一 个 注册 项 ,该 项 具 
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体 说 明了 一 个 将 被 AOL 软件 下 载 的 Windows 库 文件 的 名 字 ( 如 DLL) 。 然 而 ,由 于 设置 了 
许可 ,所 以 任何 用 户 都 能 够 写 人 项 。 

注册 表 的 这 个 使 用 是 常见 的 ,因为 卖家 必须 保证 他 们 的 软件 在 被 下 载 后 能 够 运行 。 一 
般 地 ,如 果 用 户 下载 了 某 个 新 购买 的 软件 ,但 这 个 软件 因为 不 能 访问 它 的 重要 的 库 文件 而 导 
致 不 能 正确 运行 ,那么 用 户 会 不 高 兴 。 因 为 应 用 程序 的 卖家 不 知道 Windows 系统 被 管理 的 
特定 的 方式 ,他 们 必须 得 到 一 个 许可 来 保证 用 户 能 够 运行 软件 。 如 果 注 册 表 项 后 来 被 攻击 
者 用 来 危害 Windows 系统 ,那么 这 不 是 应 用 程序 卖家 的 问题 。 

2. 管理 员 用 户 

可 以 注意 到 Windows 安全 评估 中 用 户 习 惯 以 管理 员 身 份 运行 系统 ,或 者 至 少 使 用 管理 
特权 。 这 个 原因 与 授 给 注册 项 的 访问 权 是 一 样 的 : 用 户 也 想 确认 他 们 能 够 使 用 使 系统 运行 
的 必需 的 函数 。 如 果 用 户 下 载 某 个 电脑 游戏 ,那么 用 户 需 要 特权 来 安装 这 个 游戏 ,还 可 能 需 
要 特权 来 运行 设备 密集 型 游戏 程序 。 最 后 一 件 用 户 希 望 的 事情 是 必须 找 出 为 什么 这 个 游戏 
不 能 玩 , 所 以 要 让 所 有 的 特权 围绕 着 这 个 问题 工作 。 

UNIX 系统 的 用 户 更 多 的 是 有 经 验 的 计算 机 用 户 , 他 们 知道 安装 软件 与 正常 操作 计算 
机 的 不 同 。 因 此 ,UNIX 中 root 用 户 与 sodu 操作 的 使 用 更 有 效 。 

3. 默认 许可 

与 用 户 和 软件 卖家 一 样 , Windows 调度 也 开始 于 完全 许可 和 功能 启用 。 这 导致 了 著名 
的 “红色 代码 ”(CodeRed) 里 虫 ,该 蠕虫 攻击 Microsoft IIS Web 服务 器 的 SQL 服务 器 部 分 。 
许多 运行 IIS 的 用 户 没 有 运行 SQL 服务 器 ,他们 甚至 不 知道 SQL 服务 器 在 IIS 系统 中 是 默 
认 许 可 的 。 但 是 在 这 些 平静 的 时 刻 ,IIS Web 服务 器 能 够 运行 所 有 的 软件 ,所 有 攻击 者 能 够 
发 送 恶 意 请 求 给 任何 系统 的 SQL 服务 器 ,触发 缓冲 区 溢出 是 这 个 蠕虫 发 起 的 基础 。 现 在 
IIS 的 后 续 版 本 已 经 "锁定 ”了 这 个 功能 ,这 样 软件 必须 进行 手动 操作 才能 访问 。 


3.8 可 信和 操作 系统 


如 果 信 赖 一 个 系统 的 安全 性 ,就 认为 这 个 系统 是 可 信和 的 。 如 果 一 个 可 信和 系统 不 能 提供 
想 要 的 安全 ,那么 这 个 系统 的 安全 就 是 失败 的 。 

信任 与 安全 是 不 同 的 ,信任 隐 含 着 信赖 , 即 信 任 是 二 元 选择 一 一 要 么 信任 要 么 不 信任 。 
安全 则 是 对 安全 机 制 有 效 性 的 判断 。 安 全 的 判断 与 规定 的 策略 和 声明 相关 。 然 而 ,安全 依 
赖 于 信任 ,因为 一 个 可 信和 部 分 不 能 提供 期 望 的 安全 便 会 破坏 系统 的 安全 。 理 想 情 况 下 , 仅 信 
任 安全 系统 ,并 且 所 有 的 信任 关系 是 毫 不 隐瞒 的 。 

因为 可 信 系 统 可 以 相信 它 的 安全 ,所 以 不 可 信 的 系统 就 不 信赖 它 的 安全 。 因 此 ,如 果 所 
有 的 不 可 信 系 统 都 受到 破坏 ,那么 系统 安全 是 不 受 影响 的 。 这 隐 含 着 只 有 可 信 系 统 能 够 破 
坏 安全 ,这 个 结论 很 重要 。 

操作 系统 调解 主体 (用 户 ) 与 客体 (资源 ) 之 间 的 关系 。 可 信 操 作 系统 必须 安全 地 提高 分 
离 ,内存 保护 以 及 访问 控制 , 即 可 信 操 作 系统 必须 决定 哪个 客体 被 保护 ,怎样 保护 ,哪个 主体 
允许 这 样 做 。 
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任何 好 的 安全 原理 一 般 都 包括 最 小 特权 (比如 低 水 位 线 原理 )、 简 单 、 开 放 设 计 、 完 全 仲 
裁 , 白 名 单 ( 相 对 的 是 黑 名 单 ) 、 分 离 以 及 易 用 性 。 可 信和 操作 系统 应 该 能 够 安全 提供 所 有 这 些 
功能 。 然 而 ,这 也 导致 了 大 部 分 可 信和 操作 系统 的 复杂 性 和 安全 性 差 。 


3.8.1 可 信和 操作 系统 的 概念 


可 信 操 作 系 统 是 安全 操作 系统 的 进一步 发 展 。 安 全 操作 系统 是 可 信和 操作 系统 的 基础 。 
没有 安全 操作 系统 就 没有 可 信和 操作 系 统 。 可 信和 操作 系 统 不 是 主观 腾 造 的 ,是 在 安全 操作 系 
统 的 基础 上 发 展 起 来 。 安 全 操作 系统 中 的 安全 政策 、 体 系 结构 及 其 实现 方式 仍然 适合 可 信 
操作 系统 ,但 是 ,它们 之 间 也 存在 一 些 不 同 之 处 。 直 观 地 说 ,可 信和 操作 系统 研究 的 是 如 何 为 
用 户 提 供 一 个 可 信 的 计算 环境 ,而 安全 操作 系统 研究 的 是 如 何 为 用 户 提 供 一 个 基础 安全 
和 
提 到 可 信 , 人 们 很 容易 想到 美国 国防 部 的 TCSEC 评估 准则 中 定义 的 TCB 的 概念 。 这 
种 TCB 安全 核 的 概念 对 于 操作 系统 和 其 上 建设 的 数据 库 管 理 系统 DBMS 以 及 应 用 系统 都 
是 有 意义 和 有 效 的 。 在 操作 系统 的 安全 观念 中 ,也 按照 角色 (例如 管理 员 ,超级 用 户 、 普 通用 
户 等 ) 给 予 一 定 的 引用 系统 服务 的 权限 。 也 就 是 说 ,在 TCSEC 中 提出 的 可 信 概 念 实际 上 是 
一 种 特权 概念 。 只 要 是 系统 的 管理 员 或 超级 用 户 ,就 认为 是 可 信 的 。 

与 TCB 比较 起 来 ,可 信 操 作 系统 具有 以 下 三 个 特点 。 

(1) 主体 行为 的 可 信 性 : 这 里 主体 行为 的 可 信 性 是 指 考察 行为 的 预期 性 ,也 就 是 说 ,不 
可 信行 为 对 于 从 事 某 项 工作 来 说 不 是 必要 的 或 预期 的 。 

(2) 客体 内 容 的 保密 性 .完整 性 和 可 信 性 : 客体 内 容 的 机 密 性 是 指 防 止 信息 泄露 给 未 
授权 的 用 户 ; 而 完整 性 是 指 防止 未 授权 用 户 对 客体 内 容 的 修改 ; 客体 内 容 的 可 信 性 就 是 客 
体内 容 的 真实 性 。 

(3) 自身 的 完整 性 : 自身 的 完整 性 就 是 操作 系统 自己 不 被 非法 复 改 。 

总 之 ,可 信 操 作 操 作 系 统 必 须 确 保 用 户 身份 .主体 行为 的 可 信 性 ,这 是 对 使 用 者 的 信任 ; 
确保 信息 存储 处理、 传输 的 机 密 性 、 完 整 性 ,真实 性 ,确保 服务 及 应 用 程序 的 完整 性 ,体现 了 
客体 内 容 的 可 信 ; 确保 密 钥 操作 和 存储 的 安全 ; 确保 系统 具有 免疫 能 力 , 从 根本 上 防止 病 
毒 和 黑客 。 


3.8.2 MAC、DAC 及 其 他 


如 图 3-10 所 示 ,任何 操作 系统 都 必须 提高 一 定 程度 的 分 离 , 内 存 保护 和 访问 控制 。 另 
一 方面 ,可 信 操 作 系统 ,如 图 3-11 所 示 ,必须 确实 提供 另外 的 安全 ,包括 强 访 问 控制 .自主 访 
问 控 制 、. 客 体重 用 保护 、 完 全 仲裁 .可 信 路 径 以 及 日 志 。 

强制 访问 控制 (MAC) 是 指 不 是 由 客体 的 所 有 者 控制 访问 。 比 如 , Alice 不 对 谁 享 有 
TOP SECRET 情况 权限 做 出 决定 ,所 以 她 不 能 完全 控制 同一 级 别 文件 的 访问 权 。 直 接 访 
问 控制 (DAC) 是 指 访问 由 客体 的 所 有 者 决定 的 访问 控制 。 比 如 ,UNIX 中 的 文件 保护 ,文件 
所 有 者 控制 读 、 写 以 及 执行 权 。 

如 果 DAC 与 MAC 都 用 于 一 个 客体 ,MAC 更 有 利 。 假 设 Alice 拥有 TOP SECRET 安 
全 级 别 的 文件 ,Alice 可 以 设置 DAC( 因 为 她 拥有 该 文件 ) 但是, 不管 这 些 设置 如 何 , 仅 有 
SECRET 权限 的 Bob 不 能 访问 这 个 文件 ,因为 他 不 满足 MAC 的 要 求 。 


78 计算 机 系统 安全 教程 


用 户 同步 
同时 
ER 价 局 
户 接口 访问 控制 通信 
审计 跟踪 等 
操作 系统 数据 数据 
i 程序 = 程序 
了 CPU 操作 系统 | 【访问 控制 CPU 
内 存 内 存 
输入 /输出 设备 等 输入 /输出 设备 等 
3-10 ”操作 系统 概述 图 3-11 可 信 操 作 系统 概况 


可 信 操 作 系 统 还 必须 保护 信息 从 一 个 用 户 泄漏 给 另 一 个 用 户 。 任 何 操作 系统 都 使 用 内 
存 保护 和 访问 控制 的 形式 来 避免 这 类 信息 泄露 。 但 是 一 般 和 希望 从 可 信 操 作 系统 中 得 到 更 
多 。 举 一 个 例子 , 当 可 信 操 作 系 统 为 文件 分 配 空间 时 ,相同 空间 可 能 优先 被 一 个 不 同 的 用 户 
进程 使 用 。 如 果 操 作 系统 没有 相应 的 预防 措施 ,保存 先前 进程 的 位 就 可 能 被 访问 ,这 就 造成 
信息 泄露 。 可 信和 操作 系统 应 该 采取 措施 来 避免 此 类 情况 的 发 生 。 

与 此 相关 的 问题 是 “ 剩 磁 Cmagnetic remanence)”, 先 前 存储 的 模糊 图 像 有 时 可 能 被 读 ， 
即使 这 个 空间 被 新 的 数据 重 写 了 。 为 了 减少 这 种 现象 发 生 的 概率 ,美国 国防 部 (DoD) 设 置 
的 准则 是 在 允许 其 他 进程 访问 此 空间 之 前 用 不 同 的 位 形式 反复 重 写 内 存 。 


3.8.3 可 信 路 径 


计算 机 系统 中 ,用 户 在 一 般 情 况 下 并 不 直接 与 内 核 打 交道 ,中 间 还 有 一 层 应 用 层 作为 接 
口 ,在 用 户 与 内 核 之 间 相 互 作 用 。 虽 然 这 种 设计 能 够 保护 内 核 不 会 被 用 户 肆 意 修 改 和 罕 测 ， 
但 也 带 来 了 安全 问题 。 由 于 应 用 层 并 不 能 完全 信任 ,因此 在 操作 系统 安全 功能 中 往往 会 提 
供 可 信 路 径 这 一 功能 。 可 信 路 径 (trusted path) 是 指 通过 应 用 层 , 在 用 户 与 内 核 之 间 开 辟 一 
条 直接 的 可 信任 的 交互 通道 。 

当 输 入 密码 进行 即时 登录 时 ,密码 会 怎样 完全 取决 于 系统 中 运行 的 软件 。 那 怎样 才能 
确定 软件 没有 进行 恶意 活动 ,比如 将 密码 写 入 文件 然后 用 邮件 发 送 给 Turdy? 这 就 是 可 信 
路 径 问 题 。Ross Anderson 是 这 样 说 的 :“ 我 不 知道 怎样 才能 相信 ,即使 是 我 在 自己 的 PC 
上 完成 的 数字 签名 ,我 从 事 安全 工作 已 经 超过 十 五 年 。 在 演示 软件 和 签名 软件 间 严 格 检查 
所 有 的 软件 的 路 径 已 经 让 我 失去 了 耐心 。 "理想 地 说 ,可 信 操 作 系 统 应 该 提供 强 信任 的 可 信 
路 径 。 

攻击 者 获取 非法 访问 权限 的 方法 之 一 就 是 “欺骗 ”用户 ,使 他 们 误 认 为 与 之 进行 交互 的 
是 一 个 合法 的 安全 系统 。 而 实际 上 ,用 户 的 键入 操作 完全 被 攻击 者 截获 并 分 析 。 举 一 个 例 
子 ,一 个 恶意 的 “骗子 ”在 用 户 和 合法 系统 之 间 设 置 了 一 个 伪造 的 用 户 名 和 口令 系统 ,然后 他 
就 可 以 正常 登录 了 。 所 以 ,诸如 设置 口令 ,或 是 更 改 权 限 这 些 重要 的 操作 就 需要 一 个 可 靠 
的 、 不 会 出 现 上 述 问题 的 环境 来 保证 其 安全 性 。 于 是 就 出 现 了 可 信 路 径 这 一 概念 。 它 可 以 
保证 用 户 的 重要 信息 只 能 由 合法 的 接受 者 来 接受 。 在 一 些 可 信 系 统 中 ,用 户 是 通过 一 串 唯 
一 的 关键 字 来 激活 一 个 可 信 路 径 的 ; 也 有 其 他 的 一 些 可 信 系 统 , 规 定 只 有 在 系统 启动 时 , 即 
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在 安全 执行 编码 已 经 运行 且 还 没有 任何 处 理 动作 之 前 , 才 可 以 做 与 安全 相关 的 信息 的 更 改 ， 
以 此 来 保证 安全 性 。 

操作 系统 必须 对 登录 安全 相关 的 事件 负责 。 为 了 检测 攻击 和 事后 分 析 , 这 些 信息 很 重 
要 。 登 录 并 不 像 它 看 起 来 那么 简单 .有 时 候 不 能 进行 正确 登录 。 但是, 如果 登 录 太 多 ,可 能 
会 让 那些 必须 检查 数据 的 人 筋疲力尽 ,也 可 能 让 必须 在 大 量 数据 中 寻找 相关 信息 的 自动 系 
统 筋疲力尽 。 比 如 ,应 该 登录 正确 的 密码 吗 ? 如 果 这 样 , 那 么 大 部 分 密码 会 出 现在 日 志文 件 
中 ,日 志文 件 自身 也 会 受到 安全 检测 ; 否则 ,进程 中 的 口令 猜测 攻击 就 很 难 被 检测 到 。 


3.8.4 可 信 计 算 基 


内 核 是 操作 系统 级 别 最 低 的 部 分 ,负责 同步 .内 部 进程 通信 ,信息 传递 .中 断 处 理 等 。 安 
全 内 核 是 内 核 中 处 理 安全 的 那 部 分 , 即 安全 内 核 包 含 在 内 核 之 中 。 

为 什么 有 个 安全 内 核 呢 ? 因为 所 有 的 访问 必须 经 过 内 核 , 它 是 访问 控制 的 理想 位 置 。 
它 可 能 也 是 在 某 处 设置 安全 监测 功能 的 很 好 的 实践 。 将 所 有 的 这 样 的 功能 放 在 同一 个 位 
置 ,安全 功能 更 容易 检测 和 修改 。 

推理 监测 是 安全 内 核 的 一 部 分 , 它 处 理 访问 控制 。 推 理 监 测 调解 主体 和 客体 之 间 的 所 
有 访问 ,如 图 3-12 所 示 。 安 全 内 核 的 重要 部 分 是 防 算 改 ,理想 地 说 , 它 必须 可 分 析 、 小 巧 、 简 
单 ,因为 这 个 层次 出 错 会 危害 整个 系统 的 安全 。 


E 体 | 二 一 一 | 客体 


图 3-12 ”推理 监测 


为 了 维护 每 个 域 的 保密 性 和 完整 性 ,可 信 计 算 基 CTCB) 监 控 以 下 四 个 基本 活动 : 

(1) 进程 激活 。 在 进程 的 环境 中 ,激活 和 撤离 进程 的 频率 是 很 高 的 。 从 一 个 进程 切换 
到 另 一 个 进程 需要 完全 改变 注册 表 , 重 置 映射 ,并 改变 文件 访问 表 、 进 程 状态 信息 和 其 他 一 
些 指针 ,其 中 大 部 分 都 是 秘密 级 别 的 信息 。 

(2) 执行 域 切换 。 运 行 在 某 一 域 的 进程 经 常会 激活 其 他 域 中 的 进程 以 获取 更 高 秘密 级 
的 数据 或 服务 。 

(3) 存储 器 保护 。 因 为 每 一 个 域 中 都 包含 存储 在 内 存 中 的 代码 和 数据 ,TCB 就 必须 监 
控 内 存 访问 来 保证 每 一 个 域 的 完整 性 和 保密 性 。 

(4) I/O 操作 。 在 一 些 系统 中 ,软件 涉及 I/O 操作 ,外 层 输入 与 最 内 层 的 1/O 设备 会 连 
接 起 来 ,这 样 ,1/O 操作 要 穿 过 所 有 的 域 ,所 以 必须 被 监控 。 

操作 系统 中 的 安全 操作 可 能 会 出 现在 许多 地 方 。 理 想 地 说 ,首先 设计 安全 内 核 , 然 后 在 
它 旁 边 建立 操作 系统 。 不 幸 的 是 ,实际 往往 是 相反 的 ,因为 安全 是 一 个 事后 想法 而 不 是 先前 
的 设计 目标 。 尽 管 如 此 ,可 信 操 作 系统 却 是 将 安全 作为 初始 目标 。Honeywell 开发 的 可 信 
操作 系统 SCOMP 就 是 这 样 的 一 个 例子 。SCOMP 为 了 达到 简单 性 和 可 分 析 性 ,安全 内 核 
不 到 10000 行 代 码 ,与 此 相反 ,Windows XP 用 了 超过 40000000 行 的 代码 。 

理想 地 说 ,TCB 应 该 在 一 个 可 确认 的 层 集 合 所 有 的 安全 功能 。 图 3-13 中 的 TCB 是 一 
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个 设计 简单 的 例子 ,因为 安全 特征 遍布 于 整个 操作 系统 。 任 何 对 安全 特征 的 改变 都 可 能 对 
其 他 操作 系统 功能 产生 影响 ,而 且 单 个 安全 操作 很 难 进行 分 析 , 尤 其 是 与 其 他 安全 部 分 进行 
通信 的 时 候 。 

图 3-14 所 示 的 TCB 设计 就 很 好 ,因为 所 有 的 安全 功能 都 集中 在 定义 的 安全 内 核 上 。 
在 这 个 设计 中 ,任何 安全 功能 改变 引起 的 安全 影响 都 能 够 通过 研究 安全 内 核 的 影响 来 分 析 ， 
而 且 , 攻 击 者 在 高 层次 破坏 操作 系统 不 会 引起 TCB 操作 的 失败 。 


硬件 
硬件 
< 操作 系统 内 核 安全 内 核 
二 这 操作 系统 操作 系统 
C 〇 
OO 
用 户 空 间 用 户 空 间 
〇 安全 活动 
图 3-13 TCB 的 一 个 简单 设计 图 3-14 TCB 的 一 个 好 的 设计 


总 的 来 说 ,可 信和 隐 含 着 信赖 ,TCB 是 可 信赖 的 操作 系统 安全 的 所 有 方面 。 如 果 TCB 之 
外 的 任何 东西 被 破坏 , 则 仍然 有 一 个 可 信和 系统 ; 但 是 如 果 TCB 内 部 被 破坏 ,系统 的 安全 就 
被 破坏 了 。 


习 题 3 


. 有 几 种 分 离 方式 可 以 用 来 保护 操作 系统 ? 它们 的 优 缺 点 是 什么 ? 
. 段 式 保护 与 页 式 保护 相 比 有 什么 优 缺 点 ? 如 何 解决 这 些 缺 点 ? 

. UNIX 系统 中 都 使 用 了 什么 机 制 来 保护 文件 的 安全 性 ? 

列举 一 些 用 户 认证 方式 ,这些 认证 方式 的 优 缺 点 各 是 什么 ? 
.UNIX 系统 与 Windows 系统 的 安全 保护 体制 有 哪些 不 同 ? 

. 什么 是 可 信 操 作 系统 ? 

. 解释 一 下 可 信和 路 径 和 可 信 计 算 基 的 概念 。 


DTN 


第 4 童 数据 库 安 全 


计算 机 技术 的 飞速 发 展 使 得 数据 库 的 应 用 不 断 深入 到 各 个 领域 ,但 随 之 而 来 产生 了 数 
据 的 安全 问题 。 各 种 应 用 系统 的 数据 库 中 大 量 数据 的 安全 问题 敏感 数据 的 防 窃 取 和 防 纂 
改 问 题 , 越 来 越 引起 人 们 的 高 度 重 视 。 数 据 库 安全 问题 的 研究 始 于 20 世纪 70 年代, 美国 军 
方 率先 发 起 对 多 级 安全 数据 库 管 理 系 统 的 研究 。 


4.1 数据 库 安全 威胁 


原则 上 ,凡是 造成 对 数据 库 中 存储 数据 的 非 授权 的 读 取 、 写 入 、 添 加 、 删 除 、 修 改 等 ,都 属 
于 对 数据 库 的 数据 安全 造成 了 破坏 。 另 一 方面 , 当 正 常 业务 需要 访问 数据 库 , 但 授权 用 户 不 
能 正常 得 到 数据 库 的 数据 服务 时 ,也 称 之 为 对 数 
据 库 的 安全 构成 了 破坏 。 很 明显 ,这 两 种 情况 都 ” 心 存 不 满 火 才 < 玉江 认 


的 
会 对 数据 库 的 合法 用 户 的 权益 造成 侵犯 ,或 者 是 /人 i 
信息 的 被 窃取 ,或 者 是 由 于 信息 的 破坏 而 形成 担 上 2 站 本 和 人 
供 错误 信息 的 服务 ,或 者 是 干脆 拒绝 提供 服务 。 
对 数据 库 安全 的 威胁 或 侵犯 大 致 可 以 分 为 


自然 灾害 、 人 为 疏忽 、 恶 意 破坏 、 犯 罪行 为 .隐私 


无 意 损 坏 


受 保护 数据 


数据 复制 


FE 法 访问 


车 间谍 黑 Tr 
侵害 。 i 通信 损坏 RS 
图 4-1 汇总 了 各 种 数据 库 安全 威胁 及 其 蓄意 破坏 者 
来 源 。 4-1 数据 库 安全 威胁 


4.2 数据 库 安 全 需求 


数据 库 的 基本 安全 需求 主要 包括 以 下 几 个 方面 。 
(1) 数据 库 完 整 性 。 数 据 库 完 整 性 包括 物理 数据 库 完整 性 和 逻辑 数据 库 完 整 性 两 
部 分 。 
”物理 数据 库 完整 性 。 数 据 库 的 数据 不 受 物理 问题 (比如 停电 ) 的 影响 ,数据库 如 果 因 
为 灾难 而 被 毁坏 是 可 以 被 重建 的 。 
。 逻辑 数据 库 完 整 性 。 数 据 库 的 结构 是 受到 保护 的 。 因 为 数据 库 的 逻辑 完整 性 ,修改 
一 个 域 的 值 不 会 影响 其 他 的 域 。 
如 果 数 据 库 作为 中 心 数 据 仓库 ,用 户 必须 相信 数据 值 的 正确 性 ,这 就 表明 数据 库 管 理 员 
必须 保证 更 新 只 能 由 授权 个 体 进行 ,这 同时 说 明 数 据 必 须 防止 被 破坏 ,无 论 是 外 部 非法 程序 
还 是 火灾 ,停电 等 外 部 因素 。 这 些 因素 都 会 影响 数据 库 的 完整 性 : 整个 数据 库 被 破坏 (存储 
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介质 被 破坏 ) 或 者 单个 数据 条 目 不 能 读 。 

重建 数据 库 有 时 很 重要 ,比如 ,突然 停电 时 ,银行 用 户 可 能 正在 交易 中 ,学 生 可 能 正在 注 
册 他 们 的 在 线 课堂 ,此 时 ,我 们 希望 将 系统 恢复 到 稳定 点 ,而 不 需要 用 户 重 新 进行 他 们 最 近 
完成 的 交易 。 为 了 处 理 这 种 问题 ,DBMS(Database Management System ,数据 库 管 理 系 统 ) 
必须 保存 交易 日 志 。 举 一 个 例子 ,假设 银行 系统 就 是 这 样 设计 的 ,每 次 交易 发 生 时 ,在 日 志 
(电子 或 纸 质 都 可 ) 中 产生 消息 。 一 旦 系统 失败 ,系统 恢复 到 数据 库 的 备份 ,从 而 获得 准确 的 
账户 余额 ,重新 处 理 日 志 后 面 的 交易 。 

(2) 元 素 完 整 性 。 每 个 元 素 包 含 的 数据 都 是 正确 的 。 

数据 库 元 素 的 完整 性 是 指 它们 的 正确 性 和 准确 性 。 授 权 用 户 必 须 输入 正确 的 数据 到 数 
据 库 , 然 而 ,用 户 或 者 程序 在 收集 数据 .计算 结果 或 者 输入 数值 的 时 候 可 能 会 发 生 错误 。 因 
此 ,DBMS 有 时 采用 特殊 的 方法 来 帮助 发 现 错误 并 改正 错误 。 

改正 措施 有 三 种 : 第 一 种 完整 性 措施 是 在 DBMS 中 采用 域 检 查 ,在 一 些 位 置 测 试 值 是 
和 否 合 适 。 一 个 域 可 能 要 求 是 数字 大写 字母 或 者 可 接受 的 字符 串 。 通 过 检查 确认 某 个 值 错 
误 是 因为 不 在 限定 的 范围 内 或 者 不 大 于 另外 两 个 域 的 值 的 和 ,这 些 检 查 防 止 了 简单 的 输入 
数据 的 错误 。 

第 二 种 完整 性 措施 是 访问 控制 。 不 妨 假设 没有 数据 库 , 那 么 数据 文件 可 能 包含 多 个 资 
源 的 数据 ,元 余数 据 可 能 存储 在 不 同 的 地 方 。 比 如 ,一 个 学 生 的 家 庭 住 址 可 能 存储 在 不 同 的 
学 校 文件 中 : 班级 注册 、 书 店 、 财 政 资助 中 心 。 事 实 上 学 生 并 不 知道 每 个 不 同 的 地 点 的 文件 
都 有 地 址 信息 。 如 果 学 生 从 一 个 地 方 搬 到 另 一 个 地 方 ,每 个 单独 的 文件 都 需要 更 正 。 没 有 
数据 库 , 数 据 的 完整 性 就 可 能 遭 到 破坏 。 首 先 , 可 能 某 时 刻 有 的 数据 文件 存 的 是 旧地 址 (还 
没 更 新 ) ,而 有 的 文件 存 的 则 是 新 地 址 (已 经 更 新 了 ); 其 次 ,数据 文件 可 能 被 不 正确 地 修改 ， 
从 而 导致 域 的 信息 值 不 正确 ; 第 三 ,可 能 有 学 生 不 知道 的 文件 存在 ,那么 学 生 不 知道 通知 文 
件 所 有 者 更 新 地 址 信息 ,这 些 问 题 都 可 以 通过 数据 库 系 统 解决 。 他 们 允许 在 中 心 资源 收集 
和 控制 这 个 数据 ,确保 用 户 拥有 正确 的 地 址 。 

然而 ,集中 化 也 并 非 容 易 。 谁 享有 这 个 共享 的 中 心 文件 ? 谁 授 权 更 新 那个 元 素 ? 如 果 
两 个 人 产生 了 相互 矛盾 的 修改 怎么 办 ?如 果 修 改 没有 按照 顺序 怎么 办 ? 检查 到 重复 记录 怎 
么 办 ? 发 现 重复 采取 什么 措施 ?这 些 问 题 都 需要 数据 库 管理 员 解 决 。 

第 三 种 完整 性 措施 是 保存 数据 库 的 修改 日 志 。 修 改 日 志 列 出 了 数据 库 的 每 次 修改 的 信 
息 ; 它 包含 原始 值 和 修改 后 的 值 。 使 用 这 个 日 志 . 数 据 库 管 理 员 能 够 撤销 所 有 错误 的 修改 。 

(3) 可 审计 性 。 能 够 对 数据 库 中 元 素 的 访问 和 修改 进行 跟踪 。 

在 一 些 应 用 中 ,在 数据 库 中 产生 所 有 访问 的 审计 记录 是 很 有 利 的 ,有 助 于 保持 数据 库 的 
完整 性 。 比 如 ,单一 的 访问 不 会 泄漏 受 保 护 的 数据 ,但 是 将 连续 的 几 个 访问 组 合 在 一 起 就 可 
能 泄漏 受 保护 数据 ,审计 跟踪 能 够 识别 出 用 户 已 经 获得 的 信息 ,从 而 决定 是 否 告诉 该 用 户 更 
多 的 信息 。 

颗粒 度 不 利于 审计 的 进行 。 操 作 系 统 中 的 审计 事件 是 诸如 打开 文件 .请 求 程序 之 类 
的 活动 ; 它们 不 像 “ 写 记录 3? 或 “执行 指令 ?那样 具体 。 为 了 有 利于 保护 完整 性 ,数据 库 
审计 跟踪 应 该 包括 记录 、 域 以 及 事件 元 素 级 别 的 访问 。 大 部 分 数据 库 应 用 中 这 些 细节 是 
禁止 的 。 

此 外 ,记录 被 访问 但 是 没有 报告 给 用 户 是 很 有 可 能 的 (比如 当 用 户 执行 一 个 选择 操作 
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时 ) ,此 类 访问 记录 或 元 素 但 没有 将 接受 到 的 数据 返回 给 用 户 的 情形 称 为 窗口 问题 (pass- 
through problem)。 注 意 , 不 访问 数据 而 确定 一 些 元 素 的 值 是 完全 可 能 的 , 举 一 个 例子 , 当 
你 知道 一 个 组 中 员工 只 有 一 人 时 ,你 也 就 知道 了 这 个 组 的 员工 的 平均 收入 。 因 此 ,直接 访问 
记录 的 日 志 可 能 夸大 或 缩小 用 户 实际 知道 的 信息 。 

(4) 访问 控制 。 用 户 只 能 访问 获得 访问 许可 的 数据 ,而 且 不 同 用 户 的 访问 模式 ( 读 、 写 
等 ) 不 同 。 

用 户 访问 特权 常常 从 逻辑 上 分 离 数 据 库 , 比 如 ,所 有 的 用 户 可 能 都 被 授权 访问 一 般 的 数 
据 , 但 是 只 有 人 事 部 能 够 获得 工资 数据 ,只 有 和 销售 部 能 够 获得 销售 数据 。 此 时 数据 库 就 显得 
很 有 用 了 ,因为 它们 集中 存储 和 保护 数据 ,限制 访问 是 这 种 集中 化 的 职责 ,同时 也 是 其 优点 。 

数据 库 管 理 员 从 视图 、 关 联 、 域 .记录 其 至 元 素 级 别 对 谁 应 该 访问 哪个 数据 进行 划分 。 
DBMS 必须 加 强 这 个 策略 ,对 所 有 的 访问 数据 赋予 访问 权限 或 禁止 访问 。 此 外 ,访问 模式 
可 以 是 多 样 的。 用 户 或 程序 可 能 有 权 读 ,修改 、 删 除 或 者 附加 一 个 值 、 添 加 或 删除 整个 域 或 
记录 ,或 者 重组 整个 数据 库 。 

表面 上 看 ,数据 库 的 访问 控制 就 像 操作 系统 的 访问 控制 ,或 者 计算 机 系统 的 其 他 部 分 。 
然而 ,数据 库 问题 更 为 复杂 。 操 作 系 统 的 客体 (比如 文件 ) 是 无 关系 的 条 目 , 而 记录 、 域 以 及 
元 素 都 是 相关 的 。 尽 管用 户 不 能 通过 读 其 他 文件 来 确定 某 文件 的 内 容 , 但 是 用 户 可 能 通过 
读 其 他 数据 元 素来 确定 某 个 数据 元 素 。 从 其 他 数据 值 获得 某 个 数据 值 的 问题 就 是 推理 ,后 
面 将 详细 讲解 。 

不 直接 访问 安全 客体 本 身 而 通过 推理 访问 数据 是 很 值得 注意 的 。 限 制 推理 意味 着 禁止 
某 些 路 径 来 防止 可 能 的 推理 。 然 而 ,限制 访问 控制 推理 也 限制 了 那些 不 打算 访问 非 授权 值 
的 用 户 的 请 求 。 而 且 , 试 图 对 可 能 存在 的 不 可 接受 的 推理 进行 检查 访问 的 请 求实 际 上 可 能 
降低 DBMS 的 性 能 。 

最 后 ,操作 系统 客体 和 数据 库 客体 的 颗粒 度 是 不 同 的 。 上 百 个 文件 的 一 个 访问 控制 列 
表 的 执行 比 有 上 百 个 文件 (每 个 文件 可 能 又 包含 一 百 个 子 文件 ) 的 数据 库 的 访问 控制 列表 要 
容易 得 多 。 粒 度 影 响 处 理 效率 。 

(5) 用 户 认证 。 为 了 进行 一 定数 据 的 审计 跟踪 和 访问 许可 ,每 个 用 户 都 要 进行 身份 
认证 。 

DBMS 能 够 请 求 用 户 认证 ,比如 ,DBMS 可 能 强行 要 求 用 户 通 过 具体 的 口令 和 当天 时 
间 检 查 , 这 个 认证 补充 了 操作 系统 的 认证 。 一 般 地 ,DBMS 作为 应 用 程序 在 操作 系统 之 上 
执行 。 这 个 系统 设计 意味 着 没有 从 操作 系统 到 DBMS 的 可 信和 路 径 , 所 以 DBMS 必须 怀疑 它 
收 到 的 任何 数据 ,包括 用 户 认证 。 这 样 ,DBMS 被 强制 执行 它 自己 的 认证 。 

(6) 可 用 性 。 用 户 一 般 能 够 访问 数据 库 , 以 及 所 有 授权 的 数据 。 

DBMS 有 程序 和 系统 的 特征 , 它 是 一 个 使 用 其 他 硬件 和 软件 的 资源 ,但 是 对 很 多 用 户 
而 言 它 是 唯一 的 运行 程序 。 用 户 常 常 不 重视 DBMS, 把 它 作 为 一 个 处 理 特殊 任务 的 重要 工 
具 。 但 是 当 系 统 不 能 为 其 他 用 户 服务 时 .或 者 需要 修理 或 升级 时 ,用 户 便 认识 到 DBMS 的 
可 用 性 。 举 一 个 例子 ,两 个 用 户 可 能 请 求 相同 的 记录 ,DBMS 必须 做 出 仲裁 ,一 个 用 户 必 须 
稍 后 才能 访问 ,或 者 DBMS 可 能 拒绝 未 受到 保护 的 数据 以 避免 下 载 受 保护 的 数据 ,这 将 使 
得 请 求 用 户 不 高 兴 。 这 类 问题 导致 了 DBMS 可 用 性 需求 的 提出 。 
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4.3 ”可 靠 性 与 完整 性 


数据 库 从 许多 资源 聚集 数据 ,用 户 期 望 DBMS 以 可 靠 的 方式 提供 数据 的 访问 。 当 软件 
工程 师 说 软件 是 可 靠 的 ,他 们 是 说 软件 可 以 长 时 间 运 行 而 不 发 生 问 题 。 用 户 肯 定期 望 
DBMS 是 可 靠 的 ,因为 数据 常常 是 商务 和 组 织 的 重要 部 分 。 而 且 , 用 户 让 DBMS 保管 他 们 
的 数据 ,是 希望 它 保 护 数 据 , 防 止 数据 丢失 或 损坏 。 

DBMS 通过 多 种 方式 防止 丢失 和 损坏 ,这 里 所 要 考虑 的 不 是 绝对 保护 ,因为 没有 一 种 
保护 能 够 阻止 授权 用 户 不 小 心 访问 允许 的 但 不 正确 的 值 。 

数据 库 关心 可 靠 性 和 完整 性 可 以 从 以 下 三 个 方面 看 出 。 

(1) 数据 库 完整 性 : 数据 库 是 作为 一 个 整体 来 防止 破坏 ,比如 磁盘 驱动 的 失败 、 管 理 数 
据 库 索引 的 破坏 。 操 作 系 统 的 完整 性 控制 和 恢复 程序 可 以 处 理 这 类 问题 。 

(2) 元 素 完整 性 : 只 有 授权 用 户 能 够 对 具体 的 数据 元 素 的 值 进行 写 或 者 修改 。 合 适 的 
访问 控制 保护 数据 库 防止 被 授权 用 户 破坏 。 

(3) 元 素 准 确 性 : 只 有 正确 的 数值 能 够 被 写 和 人 数据库。 检查 元 素 的 值 有 助 于 防止 不 合 
适 的 值 的 插入 ,而 且 , 限 制 条 件 也 能 够 检查 不 正确 的 数据 。 


4.4 敏感 数据 


敏感 数据 是 一 个 相对 概念 ,不 被 用 户 直接 访问 到 的 数据 对 该 用 户 而 言 就 是 敏感 数据 。 
数据 的 不 可 访问 通常 可 以 分 为 两 种 情况 ,一 种 是 由 于 工作 需要 的 划分 , 另 一 种 则 是 由 于 安全 
等 级 的 限制 。 前 者 出 现在 基于 授权 的 安全 模型 中 ,未 授权 以 及 反 授 权 的 数据 对 某 用 户 而 言 
就 是 敏感 的 ,并 且 二 者 的 敏感 性 也 不 同 ; 后 者 出 现在 基于 标记 的 多 级 安全 模型 中 ,高 安全 级 
别 的 数据 相对 于 低 安全 许可 的 用 户 显 然 是 敏感 的 。 相 应 地 ,在 混合 的 安全 模型 中 ,用 户 推 理 
得 到 的 数据 可 以 分 为 两 种 情况 ,一 种 是 数据 的 安全 级 别 并 不 高 于 该 用 户 ,但 由 于 自主 访问 控 
制 的 限制 使 得 该 用 户 无 法 直接 访问 到 ; 另 一 种 是 数据 的 安全 级 别 高 于 该 用 户 , 因 为 强制 访 
问 控制 而 使 用 户 无 法 直接 访问 到 。 这 些 都 是 推理 控制 所 必须 面 对 的 。 

可 以 通过 敏感 级 别 (Sensitive Level, SL) 来 统一 刻画 数据 的 敏感 性 。 在 授权 控制 机 制 
下 ,授权 客体 的 敏感 级 别 低 于 未 授权 客体 ,更 低 于 反 授 权 客 体 ( 这 类 客体 可 以 把 自己 所 拥有 
的 权限 反 授 给 比 自己 安全 等 级 高 的 客体 ); 而 在 强制 控制 机 制 下 , 低 安 全 级 别 客体 的 敏感 级 
别 低 于 高 安全 级 别 客体 。 这 样 ,对 于 给 定 的 用 户 , 如 若 推理 得 到 的 数据 在 敏感 级 别 上 高 于 其 
可 以 正常 访问 的 数据 , 则 该 推理 结果 即 为 敏感 的 。 考 虑 到 叙述 的 方便 ,后 文 如 无 说 明 仅 将 敏 
感 级 别 分 为 两 级 : High 和 Low。 
作为 推理 控制 的 对 象 , 敏 感 数 据 必须 存储 于 数据 库 中 ,在 安全 粒度 上 对 敏感 数据 做 出 任 
何 限制 都 会 影响 系统 的 实际 应 用 。 因 此 .根据 安全 系统 的 设计 需要 .敏感 数据 应 该 既 可 以 是 
单个 数据 项 ,也 可 以 是 数据 项 的 组 合 ; 既 可 以 是 整个 关系 中 的 所 有 元 组 .也 可 以 是 满足 条 件 
的 部 分 元 组 。 关 系数 据 库 中 ,属性 是 数据 的 最 小 结构 单位 ,敏感 数据 要 存储 在 数据 库 中 必然 
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依附 于 属性 ,因此 可 以 通过 属性 并 以 下 面 的 方式 统一 描述 各 种 安全 粒度 的 敏感 数据 。 

选择 : 给 定 关系 实例 ~” 上 的 一 个 选择 可 以 表示 为 r(F), 其 中 下 是 由 通过 逻辑 运算 符 连 
接 的 多 个 形 如 a06 的 算术 表达 式 构 成 的 一 个 逻辑 表达 式 , 其 中 6 为 比较 运算 符 ,a 是 x 中 的 
属性 名 ,2 是 对 应 的 常量 。 用 下 二 1 表示 无 选择 条 件 。 

选择 的 结果 是 -中 使 得 下 为 真 的 元 组 子 集 。 

查询 : 给 定 关系 实例 ”上 的 一 个 查询 可 以 表示 为 Q(oioj): coz ,其 中 查询 条 件 con 是 ~ 
上 选择 的 有 限 集 合 ,查询 对 象 oo 是 -~ 的 属性 子 集 。 通 过 简单 的 SQL 转化 ,查询 即 可 精确 
定位 数据 库 中 的 数据 ,因此 使 用 查询 也 可 以 形式 化 定义 数据 库 中 各 种 粒度 下 的 敏感 数据 。 

敏感 数据 : 相对 于 某 用 户 的 一 条 敏感 数据 是 数据 库 D 中 由 查询 Q(obj): con 确定 的 、 
其 无 法 直接 访问 的 数据 ,并 且 称 |obj|=1 时 的 敏感 数据 为 单一 敏感 数据 ,而 称 |obj | 二 1 时 
的 为 组 合 敏感 数据 。 

单一 敏感 数据 具备 敏感 一 致 性 , 即 所 有 组 成 元 素 的 敏感 级 别 相同 ; 对 于 组 合 敏感 数据 ， 
考虑 到 数据 库 的 可 用 性 ,其 组 成 元 素 应 可 以 有 与 组 合 整体 不 同 的 敏感 级 别 。 由 此 约定 : 
单 一 敏感 数据 中 ,任何 数据 的 泄露 等 同 于 整体 的 泄露 ; @ 组 合 敏感 数据 中 ,只 有 在 所 有 组 
成 元 素 泄 露 之 后 才 会 导致 整体 的 泄露 。 相 应 地 ,单一 敏感 数据 的 推理 控制 必须 完全 隐藏 其 
涵盖 的 所 有 数据 ,而 组 合 敏感 数据 的 推理 控制 只 需要 隐藏 其 组 成 元 素 之 一 涵盖 的 数据 。 


4.5 多 级 数据 库 


到 目前 为 止 ,我 们 都 是 将 数据 分 为 两 类 : 敏感 数据 和 不 敏感 数据 。 有 些 数据 条 目 比 其 
他 的 更 敏感 ,但 是 我 们 仅 允 许 * 是 "“ 否 ?访问 。 这 就 是 说 敏感 性 是 一 个 属性 函数 ,数据 出 现 
在 纵 列 。 表 4-1 给 出 了 一 个 这 种 模型 ,其 中 加 粗 的 两 列 认为 是 敏感 的 。 事 实 上 ,敏感 性 不 仅 
仅 是 由 属性 决定 的 。 


表 4-1 属性 级 别 敏感 性 


名 字 部 门 薪 水 电 话 职 位 
Rogers 培训 43800 4-5067 A2 
Jenkins 科研 62900 6-4281 D4 
Poling 培训 38200 4-4501 B1 
Garland 客服 54600 6-6600 A4 
Hilten 客服 44500 4-5351 B1 
Davis 管理 51400 4-9505 A3 


4.5.1 不 同安 全 的 实例 


假设 一 个 数据 库 包 含 美国 政府 支出 的 数据 。 这 些 支出 中 有 的 是 用 于 日 常用 品 ,不 是 敏 
感 信息 ; 有 的 是 工资 支出 ,需要 保密 ,个 人 的 薪水 是 敏感 数据 ,但 是 总 的 支出 不 是 敏感 的 。 
一 些 军事 操作 的 支出 则 更 敏感 ,比如 美国 用 于 导弹 的 支出 总 额 ( 这 是 不 公开 的 )。 还 有 一 些 
操作 仅 能 被 少数 人 知道 ,这些 操 作 的 花费 额 也 显得 尤为 敏感 。 
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表 4-1 列 出 了 员工 信息 。 事 实 上 可 能 会 出 现 这 样 的 情况 ,Davis 是 某 个 特殊 项 目 雇佣 的 
临时 工 , 她 的 所 有 记录 与 其 他 员工 的 敏感 性 不 同 ; 或 者 显示 的 Garland 的 电话 是 她 的 私 线 ， 
并 不 对 外 公开 。 根 据 上 面 的 情况 . 表 4-2 完善 了 数据 的 敏感 性 。 


表 4-2 数据 和 属性 敏感 性 


名 字 部 门 薪 水 电 话 职 位 
Rogers 培训 43800 4-5067 A2 
Jenkins 科研 62900 6-4281 D4 

Poling 培训 38200 4-4501 B1 
Garland 客服 54600 6-6600 A4 

Hilten 客服 44500 4-5351 B1 

Davis 管理 51400 4-9505 A3 

表 4-2 显示 了 数据 库 安全 的 三 个 特点 : 单个 元 素 的 安全 等 级 可 能 与 相同 记录 的 其 他 


元 素 ( 或 者 相同 属性 的 其 他 值 ) 不 同 , 即 一 个 元 素 的 安全 等 级 可 能 与 相同 行 或 列 的 其 他 元 素 
不 同 ,这 说 明 安 全 需要 对 单个 元 素 实现 ; @ 在 一 些 条 件 下 两 级 敏感 或 不 敏感 是 不 够 的 ,需要 
更 多 的 安全 等 级 ,这 些 等 级 可 能 代表 着 允许 程度 的 排列 (可 能 重 释 ) ,安全 等 级 形成 一 个 点 
阵 ; @ 数 据 库 中 总 和 、 数 量 、 群 值 的 安全 性 可 能 与 单个 元 素 不 同 ,它们 的 安全 级 别 可 能 高 于 
或 低 于 单个 元 素 的 安全 级 别 。 

这 三 条 原理 形成 了 多 级 数据 库 的 安全 模型 ,但 与 军事 模型 的 安全 性 不 同 , 军 事 模 型 中 客 
体 的 敏感 性 定义 为 n 等 级 ,并 按照 种 类 划分 成 区 间 。 


4.5.2 粒度 


试想 如 果 将 原来 用 于 纸 质 文件 的 军事 分 类 模型 用 于 计算 机 ,那么 分 类 并 跟踪 一 张 纸 一 
个 纸 质 文件 .一 个 计算 机 文件 .一 个 程序 或 进程 都 是 相当 容易 的 。 对 单个 数据 条 目 进行 分 类 
是 完全 不 同 的 。 

由 于 一 些 原 因 ,一 张 完 整 的 纸 分 为 一 个 等 级 ,即使 一 些 单词 (诸如 and the.of 之 类 ) 在 
文中 没有 多 大 意义 ,而 核心 单词 像 Manhattan project 之 类 可 能 是 在 文中 的 敏感 的 。 定 义 数 
据 库 中 每 个 值 的 敏感 性 与 文件 中 的 每 个 单词 使 用 的 敏感 性 是 类 似 的 ,但 是 更 为 复杂 。 单 词 
Manhattan 和 project 本 身 并 不 敏感 ,但 是 它们 组 合 起 来 成 了 敏感 的 核心 单词 Manhattan 
project。 数 据 库 中 也 有 同样 的 情况 ,因此 ,不 仅 数据 库 中 的 每 个 元 素 有 一 个 不 同 的 敏感 度 ， 
元 素 的 每 个 联系 也 有 一 个 敏感 度 。 而 且 ,元素 之 间 的 联系 比 它 的 任何 一 个 元 素 都 敏感 。 

为 了 让 数据 库 中 的 每 个 值 都 有 一 个 敏感 级 ,需要 什么 呢 ? 第 一 ,需要 一 个 访问 控制 策略 
来 规定 哪个 用 户 有 权 访 问 什么 数据 。 一 般 为 了 实现 这 个 策略 ,将 每 个 数据 条 目 都 注 上 标记 
以 显示 访问 限制 。 第 二 ,需要 一 个 方法 ,保证 数值 没有 被 未 授权 的 用 户 修改 。 这 两 个 要 求 满 
足 了 机 密 性 和 完整 性 。 

多 级 数据 库 的 控制 项 的 粒度 小 ,所 以 安全 管理 实现 难度 也 很 大 。 可 以 采用 分 区 的 机 制 ， 
把 一 个 大 的 数据 库 分 成 几 个 分 离开 的 数据 库 , 每 个 数据 库 都 有 自己 的 敏感 级 别 。 另 外 还 可 
以 采用 加 密 机 制 ,如 果 敏 感 数据 被 加 密 了 ,即使 一 个 用 户 偶然 获得 了 这 些 数据 也 无 法 解码 还 
原 数 据 。 
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4.5.3 安全 问题 


1. 完整 性 

即使 所 有 元 素 的 敏感 度 都 相同 的 单 极 数据 库 . 完 整 性 也 是 很 棘手 的 问题 。 多 级 数据 库 
中 ,完整 性 的 实现 更 复杂 也 更 难 , 因 为 访问 控制 的 * 属性 , 读 高 级 别 数据 的 进程 不 允许 写 入 
一 个 低级 别 的 文件 。 然 而 ,用 于 数据 库 时 这 个 原则 是 说 高 级 别 的 用 户 应 该 不 能 写 一 个 低级 
别 数据 元 素 。 当 DBMS 必须 读数 据 库 中 的 所 有 记录 ,并 因为 备份 .浏览 数据 库 回答 请 求 、 根 
据 用 户 的 进程 需要 重组 数据 库 .或 者 更 新 数据 库 的 所 有 记录 等 目的 要 写 和 人 新 记录 时 ,这 个 问 
题 更 加 严重 。 

当 人 们 遇 到 这 个 问题 时 ,他 们 通过 信任 和 常识 来 处 理 。 对 敏感 信息 有 访问 权限 的 人 很 
小 心地 避免 将 它们 传递 给 不 了 解 的 个 体 。 在 计算 机 系统 中 ,有 两 个 选择 : 一 是 进程 在 高 级 
别 安全 等 级 时 不 能 写 和 人 低级 别 进程 ,二 是 进程 必须 是 “被 信任 的 进程 ”, 计 算 机 与 人 有 相等 的 

2. 机 密 性 

用 户 相信 数据 库 提 供 正确 的 信息 , 即 数 据 是 符合 条 件 的 、 正 确 的 。 保 护 机 密 性 的 一 些 方 
法 可 能 导致 数据 的 一 些 修改 。 尽 管 这 些 置换 不 影响 统计 分 析 , 但 是 为 了 响应 两 个 不 同形 式 
的 请 求 , 它 们 会 产生 代表 同一 个 潜在 数据 值 的 两 个 不 同 的 答案 。 在 多 级 问题 中 ,两 个 不 同 的 
用 户 操作 两 个 不 同 的 安全 级 别 , 对 相同 的 请 求 可 能 产生 两 个 不 同 的 答案 。 为 了 保护 机 密 性 ， 
牺牲 了 精确 性 。 

加 强 机 密 性 也 导致 了 不 知道 的 元 余 。 假 设 一 个 人 事 专家 工作 的 安全 级 别 是 访问 许可 。 
专家 指导 Bob Hill 为 公司 工作 ,但 是 ,Bob 的 记录 没有 出 现在 退休 人 金 名 册 中 。 专 家 确信 这 
个 遗漏 是 一 个 错误 ,并 为 Bob 创建 了 一 个 记录 。 

没有 Bob 记录 的 原因 是 Bob 是 一 个 秘密 代理 ,公司 中 他 的 招聘 部 门 不 公开 。Bob 的 记 
录 在 一 个 文件 中 ,但 是 因为 他 的 特殊 地 位 ,他 的 记录 人 事 专家 无 法 访问 到 。DBMS 不 能 拒 
绝 人 事 专家 的 记录 ,因为 这 样 做 就 表示 这 里 存在 一 个 敏感 度 很 高 .人 事 专家 无 法 看 到 的 记 
录 。 新 纪录 的 创建 意味 着 Bob Hill 有 两 个 记录 : 一 个 是 敏感 的 , 另 一 个 则 不 是 , 见 表 4-3。 
这 种 情况 称 为 多 实例 (polyinstantiation) ,也 就 是 说 一 个 记录 能 够 多 次 出 现 , 但 每 次 的 机 密 
等 级 都 不 同 。 

表 4-3 多 实例 记录 


姓 名 敏 感 度 任 务 地 点 
Hill, Bob | 人 | Program Mgr | London 
Hill,Bob Ts Secret Agent South Bend 


这 个 问题 很 严重 ,因为 Bob Hill 是 一 个 常见 的 名 字 ,数据库 中 可 能 有 两 个 不 同 的 人 有 
相同 的 名 字 。 这 样 ,仅仅 为 了 重复 的 名 字 浏 览 数 据 库 ( 从 高 敏感 度 ) 不 是 找到 低 安 全 级 别 权 
限 的 人 无 意 输入 记录 的 很 好 的 方法 。 

我 们 可 能 会 找到 其 他 原因 ,与 敏感 级 别 无 关 , 那 将 导致 多 实例 。 比 如 , Mark Thyme 在 
Acme 公司 工作 了 30 年 退休 了 .他 现在 从 Acme 领取 退休 金 , 所 以 他 作为 一 个 退休 人 员 出 
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现在 人 事 记 录 中 。 但 是 Mark 不 愿意 在 家 中 ,他 作为 一 个 临时 工 被 重新 雇佣 ,这 个 新 工作 产 
生 了 一 个 Mark 的 新 的 人 事 记 录 。 每 个 都 是 合法 的 聘用 记录 ,我 们 想 要 减少 多 实例 ,必须 消 
除 这 样 的 合法 记录 。 


4.6 推理 控制 


数据 库 系 统 提 供 的 访问 控制 机 制作 为 一 种 安全 手段 能 加 强 对 敏感 信息 的 保护 。 在 这 种 
保护 机 制 下 ,敏感 信息 的 访问 是 通过 访问 预先 设 定 的 数据 库 接口 来 实现 的 。 但 这 种 重要 而 
且 必 不 可 少 的 访问 控制 机 制 对 信息 的 安全 保护 通常 是 不 够 的 ,因为 非法 用 户 或 内 部 人 员 可 
以 绕 过 访问 控制 机 制 达到 颠覆 敏感 信息 安全 的 目的 ,这 也 就 是 通常 所 说 的 推理 访问 ,以 间接 
方式 导致 敏感 信息 泄漏 的 推理 访问 是 安全 数据 库 中 所 存在 的 重大 安全 隐患 。 多 级 安全 数据 
库 ,统计 数据 库 一 般 数 据 库 数据 挖掘 等 都 不 同 程度 地 存在 推理 导致 敏感 信息 泄漏 的 问题 ， 
因此 推理 访问 控制 对 于 保证 数据 的 安全 具有 非常 重要 的 意义 。 


4.6.1 推理 控制 的 基本 概念 


虽然 访问 控制 模型 防范 了 敏感 信息 以 直接 访问 的 方式 被 泄露 ,但 仍然 存在 通过 推理 通 
道 以 间接 访问 的 方式 来 颠覆 敏感 信息 的 可 能 。 如 果 用 户 不 通过 访问 敏感 信息 而 推理 得 到 了 
敏感 信息 ,数据 库 管 理 系 统 中 的 任何 限制 措施 也 就 都 失去 了 意义 。 同 样 , 也 没有 办 法 知道 数 
据 库 管理 系统 中 是 否 存在 这 样 的 非 限制 信息 ,利用 这 些 非 限 制 信息 可 以 推出 数据 库 管理 系 
统 之 外 的 敏感 信息 。 当 敏感 信息 通过 访问 非 敏感 信息 或 元 数据 而 泄露 出 去 时 ,就 说 安全 数 
据 库 中 存在 推理 问题 。 这 样 的 过 程 可 以 表示 为 如 图 4-2 所 示 。 图 中 的 情景 表明 ,用 户 从 数 
据 库 管理 系统 返回 的 查询 结果 信息 中 推理 得 到 了 额外 的 数据 信息 。 


secret data 


DataBase DataBase 


unclassified data 


4-2 发 生 推理 访问 控制 的 情景 


这 里 所 说 的 元 数据 可 能 包括 数据 库 约 束 , 如 数据 信赖 .完整 性 约束 或 者 用 户 的 背景 知 
识 ,相互 关联 的 各 种 查询 等 。 敏 感 信 息 可 能 被 完全 泄露 ,也 有 可 能 是 部 分 泄露 ,这 取决 于 敏 
感 信 息 的 安全 等 级 。 

推理 控制 通常 是 在 访问 控制 的 基础 上 实施 的 ,有 效 的 推理 依赖 于 系统 中 用 户 可 以 合法 
获取 的 数据 。 推 理 通道 (或 推理 链 ) 是 刻画 推理 问题 的 一 种 常用 方法 ,多 数 推理 控制 问题 可 
以 归结 为 推理 通道 的 检测 和 消除 。 一 般 来 讲 , 检 测 并 消除 推理 通道 的 技术 可 以 分 为 两 类 : 
第 一 类 是 在 设计 阶段 发 现 推理 通道 ,通过 修改 设计 提高 某 些 敏感 数据 的 安全 级 别 来 解决 ,但 
可 能 导致 给 属性 或 原始 数据 分 配 过 高 的 安全 级 ,削弱 数据 的 可 用 性 ; 第 二 类 是 在 查询 期 间 
消除 推理 通道 ,如 果 检 测 到 潜在 的 推理 通道 就 拒绝 查询 或 修改 查询 ,以 保证 敏感 信息 的 安 


unclassified data 
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全 。 这 种 基于 查询 的 推理 控制 问题 ,代价 高 , 且 仍 会 导致 敏感 信息 的 泄漏 。 

目前 常用 的 推理 控制 方法 可 以 分 为 四 类 : 语义 数据 模型 方法 .形式 化 方法 、 多 实例 方法 
和 查询 限制 方法 。 

1. 语义 数据 模型 方法 

语义 数据 模型 方法 常用 于 数据 设计 中 的 推理 控制 。 在 数据 库 设 计 阶 段 要 求 设计 者 确定 
数据 库 客体 ,包括 数据 、 元 数据 以 及 约 东 等 及 其 安全 级 别 。 对 于 数据 库 设 计 者 和 用 户 来 讲 ， 
不 仅 要 清楚 输入 到 数据 库 中 数据 的 安全 级 别 , 而 且 要 求 在 为 数据 指定 安全 级 别 时 能 够 预见 
到 潜在 的 推理 通道 。 

在 理想 情况 下 ,为 了 阻止 所 有 未 经 授权 的 信息 泄露 ,应 该 遵守 多 级 安全 数据 库 的 基本 规 
则 : 一 个 数据 项 的 安全 级 别 应 该 支配 所 有 影响 它 的 数据 的 安全 级 别 。 如 果 一 个 数据 项 的 值 
不 被 其 安全 级 支配 的 数据 影响 ,信息 流 就 会 流向 其 他 安全 级 。 现 有 的 技术 主要 包括 使 用 安 
全 约束 在 多 安全 级 数据 库 设计 期 间 为 数据 库 模 式 制定 适当 的 安全 级 ,并 将 安全 约束 用 语义 
数据 模型 进行 表示 。 

用 于 以 数据 建 模 技 术 最 早 的 例子 是 Hinke 的 ASD Views 工程 。 在 该 工程 中 ,在 数据 库 
设计 中 通过 构造 语义 关系 图 来 表示 可 能 的 推理 通道 。 其 中 ,数据 项 被 表示 为 结 点 ,它们 之 间 
的 关系 由 连接 结 点 的 边 表示 。 如 果 两 个 结 点 之 间 存 在 两 条 路 径 , 一 条 路 径 包 含 了 图 中 所 有 
的 边 , 而 男 一 条 路 径 不 包含 图 上 所 有 的 边 , 那 么 两 结 点 之 间 就 有 可 能 存在 推理 通道 。 然 后 进 
一 步 分 析 确 认 是 不 是 真正 的 推理 通道 。 相 应 的 解决 方法 是 提升 边 的 级 别 , 直 到 所 有 的 推理 
通道 都 被 关闭 。 这 个 方法 的 缺点 是 提高 导致 推理 问题 发 生 的 数据 项 的 安全 级 别 的 方法 在 实 
际 中 受到 限制 。 另 外 ,多 实例 也 能 提供 部 分 解决 方案 。 

2. 形式 化 方法 

函数 依赖 定义 如 下 : 设 R 是 一 个 关系 模式 ,U 代表 关系 R 的 属性 集 ,X、Y 是 U 的 子 集 。 
对 于 任何 关系 R 的 实例 x,r 中 不 存在 具有 同样 的 X 属性 值 且 同 时 具有 不 同 的 Y 值 的 两 个 
元 组 , 即 如 果 t[Xj==sLYJ, 则 zt[Y]I]==s[ 门 , 则 称 Y 函数 依赖 于 X, 记 作 X 一 Y。 

如 果 一 个 函数 依赖 对 于 低 安 全 级 别 的 用 户 而 言 是 已 经 知道 的 , 则 会 产生 推理 问题 。Snu 
和 Ozsoyoglu 给 出 了 消除 函数 依赖 和 多 值 依赖 推理 的 形式 化 算法 。 在 该 算法 中 ,函数 依赖 
的 安全 级 粒度 是 属性 级 ,多 值 依赖 的 安全 级 粒度 是 记录 级 。 对 于 函数 依赖 推理 ,采用 提高 属 
性 的 安全 级 的 算法 来 消除 推理 通道 ; 对 于 多 值 依赖 推理 ,该 算法 的 核心 思想 是 把 存在 多 值 
依赖 推理 的 关系 实例 中 的 某 些 元 组 的 安全 级 升 高 ,经 过 调整 元 组 的 安全 级 后 ,新 的 关系 实例 
不 再 存在 多 值 依赖 推理 。 

3. 多 实例 方法 

如 前 所 述 ,多 实例 允许 数据 库 中 存在 关键 字 相 同 但 安全 级 别 不 同 的 元 组 , 即 把 安全 级 别 
作为 主 关键 字 的 一 部 分 。 这 样 ,即使 数据 库 中 存在 高 安全 级 别 的 元 组 ,也 允许 低 安全 级 别 的 
数据 插入 ,从 而 解决 了 利用 主 关键 字 的 完整 性 进行 推理 的 问题 。 多 实例 方法 的 缺点 是 使 数 
据 库 失去 了 实体 完整 性 ,同时 增加 了 数据 库 中 数据 关系 的 复杂 性 。 

4. 查询 限制 方法 

该 方法 通过 分 析 查 询 的 方法 来 解决 推理 通道 问题 。 为 了 在 数据 库 会 话 中 阻塞 推理 通 
道 , 对 用 户 的 查询 采取 的 限制 方法 主要 有 修改 查询 语句 和 修改 查询 结果 两 类 。 
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(1) 查询 在 执行 前 修改 。 当 系统 接收 到 用 户 提交 的 查询 时 ,首先 判断 该 查询 是 否 会 导 
致 敏感 信息 的 推理 ,如 果 会 ,那么 必须 对 查询 进行 转换 ,使 其 不 能 导致 敏感 信息 的 导出 。 
Donald G 提出 了 通过 检查 用 户 SQL 语言 来 分 析 推 理 通道 的 方法 。 该 方法 假定 数据 库 由 一 
个 全 局 关系 组 成 ,全 局 关系 可 以 通过 所 有 关系 的 笛 卡 儿 积 得 到 。 从 查询 ,谓词 和 模式 在 表示 
数据 库 元 组 时 等 价 的 角度 出 发 ,通过 检查 SQL 语言 的 Where 子 句 ,可 以 发 现 大 部 分 推理 

(2) 修改 查询 结果 。 方 法 (1) 虽 然 阻 止 了 用 户 进行 非法 查询 ,但 恶意 用 户 可 以 通过 比较 
合法 查询 与 非法 查询 的 区 别 导 出 推理 信息 。 因 此 ,通过 引入 不 确定 性 对 查询 结果 进行 修改 
成 为 研究 的 重点 。 图 4-3 是 一 种 典型 数据 库 推理 问题 控制 器 原型 (DBIC Systemy) 的 示意 图 。 


| | 挛 - 一 一 Inference Engine|——=| Knowledge Base 


4-3 ”数据 库 推理 问题 控制 器 原型 


它 是 一 个 由 系统 安全 员 使 用 的 基于 知识 的 工具 ,用 来 监测 和 制止 推理 。 推 理 引 擎 根据 
规则 进行 以 下 动作 : 

@ 判断 哪些 查询 及 相关 结果 返回 给 用 户 ; 

@ 检查 返回 给 用 户 的 数据 的 完整 性 和 一 致 性 ; 

@ 启动 对 推理 风险 概率 的 计算 并 确认 推理 通道 ; 

@ 根据 从 用 户 得 来 的 数据 和 @ 的 结果 修改 知识 库 ; 

@ 对 安全 标示 /安全 级 别 的 修改 提出 建议 。 


4.6.2 关系 数据 库 的 推理 控制 


判定 数据 库 是 否 存在 推理 泄露 是 对 其 实施 推理 控制 的 前 提 。 利 用 关联 在 给 定数 据 集 上 
的 推理 是 一 个 反复 过 程 ,新 推理 得 到 的 数据 可 能 激活 其 他 关联 用 于 进一步 的 推理 , 若 所 有 关 
联 作用 在 某 数据 集 上 都 不 再 推理 出 新 数据 , 则 称 此 时 的 推理 数据 集 是 推理 封闭 的 。 

推理 闭 包 : 给 定数 据 库 了 的 属性 集合 X 和 关联 集合 下 , 若 存在 一 个 下 中 关联 的 作用 顺 
序 从 X 推理 出 的 X ,使 得 下 中 任意 的 关联 作用 在 X 上 的 推理 结果 都 是 X 的 子 集 , 则 称 X 
是 属性 集 X 在 关联 集合 下 上 的 推理 闭 包 ,用 X# 表示 。 

通过 推理 闭 包 的 计算 就 可 以 简单 判定 数据 库 对 于 某 用 户 而 言 是 否 存 在 潜在 的 推理 汇 
露 。 若 某 用 户 在 数据 库 D 中 的 可 访问 的 属性 集 是 推理 封闭 的 , 则 D 对 该 用 户 是 推理 安全 
的 ,否则 出 现在 相应 推理 闭 包 中 的 敏感 属性 集 即 为 针对 该 用 户 的 推理 控制 对 象 。 

保护 敏感 数据 不 被 直接 访问 是 安全 系统 的 核心 :以 访问 控制 为 基础 的 推理 控制 是 系统 
的 一 个 有 效 补 充 ,应 该 避免 因 破 坏 访 问 控制 策略 而 导致 的 敏感 数据 的 泄露 。 在 满足 访问 控 
制 策略 的 基础 上 ,进行 推理 控制 还 应 遵循 以 下 基本 原则 : 

(1) 信息 最 大 可 用 原则 。 实 施 推理 控制 后 ,用户 对 数据 库 的 访问 必 将 受到 新 的 限制 ,部 
分 信息 因为 可 能 不 再 能 够 被 访问 而 丢失 ,因此 .在 保证 数据 库 安全 的 前 提 下 ,要 尽 可 能 使 数 
据 库 中 的 数据 最 大 可 用 。 
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(2) 分 阶段 控制 原则 。 根 据 敏感 数据 的 定义 ,以 是 否 存在 查询 条 件 可 将 推理 通道 分 为 
两 类 : 独立 于 数据 和 依赖 于 数据 。 前 者 与 具体 数据 无 关 , 只 要 通道 存在 必然 导致 泄露 发 生 ， 
因此 这 类 通道 都 应 在 数据 库 设 计 阶 段 通过 安全 级 或 授权 调整 来 消除 ; 对 于 后 者 ,从 通道 得 
到 的 推理 结果 不 全 是 敏感 的 ,适合 在 数据 库 运行 阶段 通过 监控 实现 有 选择 的 推理 控制 。 

设计 阶段 的 推理 控制 独立 于 具体 数据 ,不 用 考虑 查询 的 条 件 。 该 阶段 采用 数据 隐藏 的 
方法 , 即 在 访问 控制 策略 中 限制 用 户 对 推理 通道 中 某 些 属性 访问 ,来 消除 推理 通道 。 属 性 的 
隐藏 必然 导致 其 对 应 数据 可 用 性 的 下 降 ,根据 信息 最 大 可 用 的 原则 ,需要 选择 对 数据 可 用 性 
影响 最 小 的 属性 集 。 

(3) 短 通道 优先 原则 。 推 理 过 程 用 到 的 关联 越 多 ,推理 通道 就 越 长 ,推理 结果 的 不 确定 
性 通常 也 就 越 大 。 因 此 ,相对 于 长 通道 而 言 , 短 通道 带 来 的 危害 更 迅速 而 且 更 直接 ,这 类 通 
道 应 优先 在 设计 阶段 消除 。 


4.6.3 XML 数据 库 的 推理 控制 


XML 已 经 成 为 互联 网 上 进行 数据 传输 和 交换 的 标准 ,但 由 于 互联 网 的 开放 性 和 脆弱 
性 ,XML 数据 的 安全 问题 一 直 是 研究 人 员 致力 解 决 的 问题 ,目前 关于 XML 推理 控制 的 研 
究 才 刚刚 起 步 。 

关系 数据 的 推理 控制 可 以 分 别 在 数据 库 设计 和 运行 两 个 阶段 实施 ,而 对 于 XML 数据 
而 言 ,由 于 面向 节点 的 访问 控制 对 系统 性 能 的 影响 较为 严重 ,其 推理 控制 适合 在 设计 阶段 实 
施 。 基 本 策略 是 计算 无 推理 泄露 的 安全 视图 : 首先 根据 访问 控制 的 要 求 ,形成 对 应 于 不 同 
用 户 或 用 户 组 的 局 部 文档 视图 ,然后 根据 源 文档 中 的 约束 规则 去 除 视图 中 可 能 导致 敏感 数 
据 泄露 的 节点 或 子 树 。 此 后 ,用 户 对 源 文档 的 访问 将 重 定向 到 相应 的 安全 视图 上 。 由 于 安 
全 视图 同时 满足 访问 控制 和 推理 控制 的 安全 要 求 ,因此 可 以 直接 返回 用 户 的 查询 结果 ,而 不 
必 再 进行 任何 控制 ,从 而 提高 系统 的 访问 效率 。 实 际 的 处 理 过 程 如 图 4-4 所 示 。 


推理 控制 部 分 
XML 源 文档 


访问 控制 
安全 验证 及 
正 向 推理 扩展 【局 部 视图 VIEW mE 
HER 用 一 一 > 
推理 闭 包 


推理 控制 


安全 视图 VIEW 


4-4 XML 约束 推理 控制 的 处 理 过程 示 意图 


Q@ 指定 并 保存 XML 源 文档 中 的 所 有 约束 规则 集合 C。 

G@ 通过 访问 控制 形成 对 应 于 不 同 用 户 或 用 户 组 的 源 文档 局 部 视图 集合 VIEW 。 

@ 对 于 VIEW 中 的 每 一 个 局 部 视图 view, 利 用 C 中 的 约束 对 其 进行 正 向 推理 生成 推 
理 闭 包 view+ 。 若 view+ 包含 敏 感 数据 , 则 生成 敏感 数据 集 M。 

@ 以 敏感 数据 集 M 为 基础 ,进行 逆向 推理 ,清除 推理 链 上 的 所 有 元 素 , 形 成 安全 无 泄 
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露 的 用 户 局 部 文档 视图 view '。 

@ 用 户 登录 并 提交 查询 ,通过 验证 后 将 查询 映射 到 相应 的 局 部 文档 视图 view', 由 view' 对 
查询 进行 响应 。 

设计 阶段 的 安全 视图 尽管 有 着 避免 复杂 授权 处 理 过 程 以 及 提高 系统 运行 效率 的 优点 ， 
但 同时 也 存在 一 定 的 缺点 。 首 先 缺 乏 灵 活性 ,XML 数据 库 的 任何 变动 无 法 直接 作用 到 视 
图 ,需要 对 视图 作 同 步 的 更 新 ; 其 次 影响 系统 的 可 用 性 ,安全 视图 生成 过 程 中 的 剪 枝 处 理 使 
得 部 分 有 用 的 数据 不 再 能 够 被 访问 ; 最 后 对 于 较 大 的 文档 ,局 部 视图 的 存储 和 维护 也 是 一 
个 较 重 的 负担 。 


4.7 隐私 保护 的 数据 挖掘 


隐私 保护 技术 作为 一 种 新 兴 的 信息 安全 技术 ,与 传统 的 访问 控制 和 加 密 技术 有 着 本 质 
的 区 别 。 访 问 控制 技术 和 加 密 技 术 的 核心 思想 是 保护 数据 的 隐秘 性 ,保证 它 不 被 非 授 权 的 
第 三 方 访问 。 一 般 通过 切断 从 攻击 者 到 隐秘 数据 的 道路 (访问 控制 ) 或 者 使 得 攻击 者 获得 的 
数据 变 得 不 可 用 (加 密 技 术 ) 来 实现 。 攻 击 者 则 以 获得 可 用 的 隐秘 数据 为 最 终 目 标 。 而 隐私 
保护 技术 并 不 保障 资料 的 隐秘 性 ,隐私 资料 完全 是 对 外 公开 的 ,甚至 任何 人 都 可 以 访问 ,其 
核心 是 要 保护 隐私 数据 与 个 人 之 间 的 对 应 关系 , 即 隐私 数据 可 以 被 任何 人 得 到 ,但 是 却 不 能 
把 该 数据 对 应 到 某 个 特定 的 人 身上 。 从 攻击 者 的 角度 看 ,攻击 的 目标 是 隐私 数据 与 个 人 之 
间 的 对 应 关系 。 

随 着 网 络 ,数据库 技术 的 发 展 , 人 类 大 量 的 个 人 电子 信息 被 存储 、 发 布 ,并 且 用 于 数据 挖 
据 、 知 识 发 现 等 领域 ,虽然 从 海量 数据 中 能 够 挖掘 有 用 的 信息 ,但 是 当 数 据 挖掘 用 于 公开 分 
析 大 量 的 私人 信息 (如 病史 、 购 物 记 录 、 信 用 记录 等 ) 时 , 它 在 为 人 们 提供 强大 知识 发 现 的 同 
时 ,也 给 个 人 隐私 带 来 威胁 。 


4.7.1 隐私 保护 数据 挖掘 的 分 类 


隐私 保护 数据 挖掘 是 未 来 数据 挖掘 一 个 非常 重要 的 研究 领域 ,从 数据 分 布 . 数 据 修改 、 
数据 挖掘 算法 .数据 及 规则 的 隐藏 以 及 隐私 保护 技术 五 个 角度 可 以 对 现 有 的 较为 典型 的 隐 
私 保护 数据 挖掘 算法 分 为 如 下 几 类 。 

(1) 数据 分 布 (Data Distribution): 这 个 角度 主要 涉及 数据 的 分 布 方式 。 

一 些 算法 主要 研究 数据 集中 分 布 的 情况 ,另外 一 些 算 法 主要 研究 分 布 式 数据 挖掘 的 情 
况 ,其 中 ,分 布 式 数据 挖掘 又 可 以 分 为 数据 水 平分 布 和 数据 垂直 分 布 两 种 。 

(2) 数据 修改 (Data Modification) : 这 个 角度 主要 涉及 数据 修改 的 方案 。 

一 般 来 说 ,为 了 确保 被 公开 数据 的 隐私 安全 性 ,原始 数据 在 被 公开 之 前 需要 经 过 修改 ， 
进行 伪装 ,数据 修改 方案 需要 和 隐私 保护 策略 相 结 合 。 常 用 的 数据 修改 方法 包括 以 下 几 种 。 

@ 数据 扰乱 (Data Perturbation): 即将 原始 数据 的 属性 值 蔡 换 为 一 个 新 的 值 , 如 在 布 
尔 属性 值 中 进行 0 一 1 互 换 ,添加 噪声 数据 等 。 

@ 数据 阻塞 (Blocking) : 即 用 “?” 来 替代 存在 的 值 ,以 保护 敏感 数据 和 规则 ; 合并 或 聚 
合 多 个 详细 数据 成 为 一 个 更 高 层次 的 数据 。 
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@ 取样 (Sampling): 即 对 数据 进行 抽样 。 

(3) 数据 挖掘 算法 (Data Mining Algorithm) : 这 个 角度 主要 考虑 适用 于 不 同 的 数据 挖 
气 算 法 ,如 分 类 算法 、 关 联 规则 挖掘 算法 、 聚 类 分 析 算 法 等 。 

(4) 数据 及 规则 的 隐藏 (Data or Rule Hiding): 这 个 角度 主要 考虑 需要 隐藏 的 是 原始 
数据 还 是 规则 。 原 始 数据 主要 指 用 户 的 姓名 .身份 证 号 码 、 银 行 卡号 码 、 住 址 .工资 等 敏感 数 
据 ; 规则 主要 指使 用 数据 挖掘 算法 从 数据 中 挖掘 出 来 的 侵犯 隐私 的 信息 等 。 隐 私 保护 数据 挖 
掘 的 目标 是 通过 使 用 修正 原始 数据 的 算法 ,使 得 在 进行 数据 挖掘 之 后 ,属于 隐私 的 数据 和 信息 
依然 保持 隐藏 而 未 被 发 现 。 对 原始 数据 的 保护 难点 在 于 ,必须 在 保护 隐私 的 同时 ,高 效 地 挖掘 
出 数据 背后 隐藏 的 知识 ; 而 对 于 规则 来 说 ,保护 难点 在 于 ,隐私 保护 者 希望 通过 隐私 保护 算法 
所 隐藏 的 信息 , 却 经 常会 被 非 专业 的 用 户 从 公开 的 数据 中 发 现 。 通 常 隐藏 规则 比 伪装 原始 数 
据 的 复杂 度 要 高 ,有 时 通过 保护 敏感 规则 ,往往 能 同时 起 到 保护 重要 原始 数据 的 目的 。 

(5) 隐私 保护 (Privacy Preservation) 技 术 : 这 个 角度 主要 考虑 的 是 修改 数据 所 采用 的 
技术 。 隐 私 保 护 技术 是 五 个 分 类 标准 中 最 重要 的 ,因为 它 能 直接 反映 隐私 保护 的 程度 。 从 
隐私 保护 技术 这 个 角度 又 可 以 分 为 : 

Q@ 基于 启发 式 技术 的 方法 ,例如 自 适应 地 进行 数据 更 改 技术 ,该 方法 只 改变 部 分 选中 
数值 ,而 并 非 所 有 数值 ; 

@ 基于 密码 学 技术 的 方法 ,该 方法 主要 利用 密码 学 知识 对 数据 进行 加 密 , 例 如 安全 多 
方 计算 (SMC) 方 法 , 即 参 与 计算 的 各 方 只 能 获得 自己 所 提供 的 输入 数据 以 及 最 终结 果 , 而 
对 于 其 他 参与 者 的 数据 一 无 所 知 ; 

@ 基于 重 构 技术 的 方法 , 即 从 被 随机 扰乱 的 伪装 数据 中 重 构 原始 数据 的 分 布 。 


4.7.2 天- 匿名 模型 


天- 匿名 模型 要 求 公布 后 的 数据 中 存在 一 定数 量 的 不 可 区 分 的 个 体 , 使 攻击 者 不 能 判别 
出 隐私 信息 所 属 的 具体 个 体 , 从 而 防止 了 个 人 隐私 的 泄密 。 

设 T 为 原始 资料 表 ,T 为 要 发 布 的 资料 表 。 工 中 的 属性 可 以 分 为 以 下 三 类 。 

(1) 标识 符 属 性 : 该 属性 可 以 唯一 的 确定 一 个 人 ,例如 身份 证 号 、 姓 名 等 。 既 然 此 时 的 
目的 是 为 了 避免 发 布 过 多 的 信息 ,以 免 攻 击 者 可 以 唯一 地 识别 一 个 人 的 信息 ,因此 ,这 类 属 
性 在 预 处 理 的 时 候 应 该 被 移出 或 者 加 密 。 

(2) 准 标 识 符 属 性 (QD : 假定 一 个 实体 集 U ,一 个 特定 的 实体 表 T(Ai .As,…,A,)， 
fi: UT 以 及 fs: T 一 U (其 中 UEU)。T 的 一 个 准 标识 符 QI 是 一 组 属性 {A;,…,A;} 
E{Ai,As,… ,A,), 其 中 3 P;EU ,那么 fe(f.(Pi)LQTJ)==P; 成 立 。 准 标识 符 属 性 是 攻击 
者 已 知 的 ,可 能 同时 存在 于 发 布 的 资料 表 与 其 他 攻击 者 可 以 获得 的 外 部 的 数据 表 ,攻击 者 可 
以 利用 准 标识 符 属 性 引起 链接 攻击 推演 出 个 体 信息 。 准 标识 符 属 性 不 含有 任何 敏感 信息 。 

(3) 敏感 属性 : 敏感 属性 是 攻击 者 所 不 知道 的 ,需要 被 保护 的 属性 ,例如 健康 状况 、 个 
人 收入 等 。 

为 了 保护 个 人 隐私 ,在 数据 发 布 的 时 候 , 必 须 从 数据 表 中 删除 标识 符 属性 值 ,但 是 它 依 
然 有 可 能 造成 隐私 泄漏 。 例 如 ,在 马萨诸塞 州 , 研 究 者 可 以 从 Group Insurance Commission 
(GIC) 得 到 人 们 的 健康 信息 表 (MedicalData) ,其 中 包含 邮政 编码 、 性 别 、 生 日 、 健 康 状况 等 
一 百 多 个 属性 ,同时 研究 者 还 可 以 很 容易 地 得 到 注册 选民 信息 表 (VoterList)。 这 两 个 表 是 


94 计算 机 系统 安全 教程 


公开 的 ,其 中 虽然 健康 信息 表 含 有 健康 状况 
这 个 敏感 属性 ,但 是 该 表 在 发 布 的 时 候 已 经 


Name 
Address 


Ethnicity 


将 标识 符 属性 (姓名 、 身 份 证 号 等 ) 删 除 掉 ,而 We Date 
注册 选民 信息 表 的 所 有 字段 属性 本 身 没 有 任 Re eel 
何 敏感 属性 , 且 是 完全 公开 的 。 这 两 个 表 各 Medication ee 
自 本 身 没有 任何 隐私 泄露 的 问题 ,但 是 注册 en Date last 


Voted 


选民 信息 表 和 健康 信息 表 中 含有 公共 属性 字 
段 {Zip, Birthdate, Sex) ,如 图 4-5 所 示 , 通 过 对 
两 个 表 进 行 链接 操作 (Select MedicalData. * ， 
VoterList. * from MedicalData As A, VoterList As B where A. Zip= B. Zip and A. 
Birthdate 王 B. Birthdate and A. Sex 王 B. Sex) ,就 可 以 得 到 大 部 分 在 选民 信息 表 中 出 现 的 人 
的 身体 健康 状况 。 可 见 由 于 数据 发 布 后 ,数据 提供 者 既 不 清楚 数据 接受 者 所 拥有 的 其 他 资 
源 , 也 不 能 对 数据 接受 者 对 数据 的 使 用 进行 控制 ,因此 如 果 在 发 布 前 ,不 对 数据 表 做 特殊 的 
处 理 , 就 不 能 保障 数据 所 有 者 的 隐私 信息 不 被 泄漏 。 

K- 匿 名 : 给 定数 据 表 T(Ai ,As,，…,A,),QI 是 与 T 相关 联 的 准 标识 符 , 当 且 仅 当 在 
TLQ] 中 出 现 的 每 个 值 序列 至 少 要 在 TLQI] 中 出 现 K 次 , 则 本 满 足 K- 匿 名 。TLQI] 表 示 
代表 的 元 组 在 准 标识 符 QI 上 的 投影 。 

K- 匿 名 化 是 数据 发 布 环境 下 保护 数据 隐私 的 一 种 方法 。 开 -匿名 要 求 在 发 布 的 数据 集 
中 ,每 一 条 记录 ~, 都 要 有 至 少 K 条 记录 与 其 在 准 标识 符 属 性 上 具有 相同 的 属性 值 , 即 每 个 
等 价 组 所 含 的 元 组 个 数 至 少 为 K。 

表 4-4 是 一 个 原始 病人 基本 信息 表 , 表 4-4 的 准 标识 符 属 性 为 {Zip code, Age， 
Nationality} ,Condition 为 敏感 属性 。 表 4-5 是 一 个 表 4-4 满足 4- 匿 名 化 的 例子 。 表 4-5 有 
3 个 等 价 组 ,每 个 等 价 组 的 记录 个 数 至 少 为 4。K- 匿 名 化 可 以 保证 攻击 者 即使 知道 某 一 个 
病人 的 准 标 识 符 属性 中 有 关 的 信息 ,但 是 攻击 者 能 推断 出 该 病人 敏感 属性 具体 值 的 概率 不 
夫 填 /RK。 


4-5 ”链接 攻击 


表 4-4 住院 病人 信息 表 


Non-Sensitive Sensitive 
Zip Code Age Nationality Condition 
1 13053 28 Russian Heart Disease 
2 13068 29 American Heart Disease 
及 13068 21 Japanese Viral Infection 
4 13053 23 American Viral Infection 
5 14853 50 Indian Cancer 
6 14853 55 Russian Heart Disease 
7 14850 47 American Viral Infection 
8 14850 49 American Viral Infection 
9 13053 31 American Cancer 
10 13053 37 Indian Cancer 
11 13068 36 Japanese Cancer 
12 13068 35 American Cancer 
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表 4-5 满足 4- 匿 名 化 的 住院 病人 信息 表 


Non-Sensitive Sensitive 
Zip Code Age Nationality Condition 
1 130 xx =30 关 Heart Disease 
2 130 xx <30 关 Heart Disease 
3 130 xx =30 关 Viral Infection 
4 130 xx =30 关 Viral Infection 
5 1485 * 之 40 x Cancer 
6 1485 * 之 40 关 Heart Disease 
7 1485 * 之 40 关 Viral Infection 
8 1485 * 之 40 关 Viral Infection 
9 130 xx 3 x Cancer 
10 130 xx 3 x Cancer 
11 130 xx 3 x Cancer 
12 130 xx 3 关 Cancer 


如 果 发 布 的 数据 表 工 满足 天 -匿名 ,那么 以 准 标识 符 QI 为 基础 的 外 部 数据 表 与 表 了 的 
连接 ,不 能 够 链接 到 QI 或 QI 任何 一 个 子 集 上 .来 匹配 出 少 于 K 个 数目 的 个 体 。 因 此 能 够 
预防 表 中 信息 与 外 部 数据 源 的 链接 推理 。 

K- 匿 名 模型 主要 有 以 下 三 方面 的 特点 : 四 匿名 策略 只 针对 静态 数据 ,不 支持 数据 更 新 
后 的 重新 发 布 ; @@ 只 能 提供 表 级 别 的 保护 粒度 ; @ 默 认 所 有 的 属性 具有 相同 的 重要 性 。 

原始 K- 匿 名 模型 要 求 一 个 等 价 组 中 至 少 有 条 记录 ,主要 是 为 了 防止 身份 泄露 ,但 是 
同时 会 带 来 属性 泄露 。Machanavajjhala 等 人 提出 了 针对 K- 匿 名 模型 的 两 种 攻击 方法 ,一 
致 性 攻击 和 背景 知识 攻击 。 一 致 性 攻击 是 指 等 价 组 内 的 敏感 属性 值 缺 乏 多 样 性 导致 隐私 汇 
露 。 例 如 ,Alice 和 Bob 是 敌对 的 邻居 ,有 一 天 Bob 生病 并 且 被 救护 车 送 进 医院 。Alice 看 
到 后 也 去 医院 探 个 究竟 。 在 医院 Alice 看 到 公布 的 一 个 4- 匿 名 的 现 有 病人 的 数据 表 ( 见 表 
4-5),Alice 很 快 就 发 现 Bob 所 患 何 病 。 因 为 Alice 是 Bob 的 邻居 ,她 知道 Bob 的 年 龄 是 31 
岁 的 美国 男子 ,并 且 邮 编 是 13053。 因 此 ,Alice 知道 Bob 记录 号 可 能 为 9,10,11 或 12。 而 
这 几 条 记录 都 有 一 个 共同 的 健康 状况 值 CCancer) ,因此 Alice 推断 出 Bob 所 患 为 Cancer。 
背景 知识 攻击 是 指 由 于 攻击 者 对 资料 表 所 知道 的 附加 的 背景 知识 引起 的 隐私 泄露 。 例 如 ， 
Alice 有 一 个 笔友 Umeko 和 Bob 住 进 同一 所 医院 ,他 的 记录 同样 出 现在 表 4-4。Alice 知道 
Umeko 是 一 个 21 岁 的 日 本 女子 ,邮编 是 13068。 通 过 这 些 信息 ,Alice 推出 Umeko 的 记录 
号 可 能 为 1,2,3 或 4, 如 果 没 有 其 他 信息 的 话 .Alice 不 确定 Umeko 患 的 是 Virus 或 Heart 
Disease。 但 是 众所周知 日 本 人 患 Heart Disease 的 几率 非常 小 ,因此 Alice 推断 Umeko 患 
的 应 该 是 Virus。K- 匿 名 模型 在 这 两 种 攻击 下 会 造成 属性 汇 露 。 针 对 上 述 两 种 攻击 ， 
Machanavajjhala 给 出 了 通过 提高 等 价 组 敏感 属性 多 样 性 的 方法 (L-diversity) 来 降低 隐私 汇 
露 。L-diversity 要 求 数据 表 在 满足 K- 匿 名 模型 的 前 提 下 ,等 价 组 中 至 少 有 /条 不 同 的 敏感 
属性 值 等 ; 由 表 4-4 中 的 住院 病人 记录 表 , 可 以 得 到 一 个 满足 3-diversity 的 数据 表 ( 见 
表 4-6) ,该 数据 表 可 以 有 效 地 防止 满足 4- 匿 名 化 的 表 4-5 中 遇 到 的 攻击 。 比 如 ,Alice 不 能 
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从 3-diversity 表 中 推出 Bob (来 自 于 邮编 13053 的 31 岁 的 美国 男子 ) 患 有 癌症 。 尽 管 
Umeko( 一 个 来 自 邮 编 13068 的 21 岁 的 日 本 女子 ) 极 不 可 能 患 有 Heart Disearse, Alice 仍然 
不 能 确定 Umeko 患 有 Viral 或 Cancer。 


表 4-6 满足 3-diversity 的 住院 病人 信息 表 


Non-Sensitive Sensitive 
Zip Code Age Nationality Condition 
1 130 xx 40 x Heart Disease 
4 1305 x <40 关 Viral Infection 
9 1305 * <40 x Cancer 
10 1305 * 40 闪 Cancer 
5 1485 x >40 Cancer 
6 1485 * >40 x Heart Disease 
7 1485 * >40 x Viral Infection 
8 1485 * >40 关 Viral Infection 
2 1306 * <40 x Heart Disease 
3 1306 * 40 x Viral Infection 
11 1306 * 40 x Cancer 
12 1306 * 40 x Cancer 


4.7.3 ”匿名 化 实现 技术 


1. 泛 化 和 隐匿 


泛 化 和 隐匿 是 实现 匿名 化 所 使 用 的 最 早 也 是 最 广泛 的 技术 。 泛 化 就 是 将 数据 表 中 的 属 
性 的 具体 值 用 泛 化 值 来 代替 ,使 其 意义 变 得 更 加 广泛 。 比 如 将 生日 从 “年 /月 /日 ? 泛 化 成 
“年 /月 ” 将 地 区 从 “北京 “上 海 ” 等 泛 化 成 “中 国 ”; 将 数字 12,15,18 泛 化 成 区 间 
[10,20] 等 。 

隐匿 ,就 是 直接 从 数据 表 中 删除 一 些 属性 值 或 记录 。 隐 匿 会 导致 减少 了 发 布 的 数据 ,但 
是 在 实际 应 用 中 可 以 降低 数据 的 泛 化 数量 ,从 而 降低 了 数据 的 信息 损失 。 隐 匿 通常 和 泛 化 
结合 使 用 ,使 没有 满足 匿名 要 求 的 数据 记录 ,通过 直接 删除 来 保证 数据 的 安全 性 。 

泛 化 的 过 程 首先 要 对 每 一 个 属性 定义 一 棵 泛 化 树 , 泛 化 树 的 叶子 节点 就 是 具体 的 属性 
值 ,数值 型 属性 泛 化 树 的 父 节 点 则 是 包含 所 有 子 节点 的 一 个 区 间 ,如 图 4-6(Ca) 所 示 ; 而 对 于 
分 类 型 属性 ,根据 自然 地 语义 关系 构造 泛 化 树 , 其 父 节 点 则 是 含义 更 为 广泛 的 信息 ,如 
图 4-6(b) 所 示 。 当 属性 沿 着 从 叶子 节点 到 根 节点 的 路 径 进 行 泛 化 , 越 接近 根 节点 , 则 泛 化 
程度 越 高 ,隐私 信息 的 安全 性 也 就 越 高 。 但 是 对 于 有 些 属性 ,如 Occupation, 可 能 不 存在 任 
何 语义 关系 来 构造 泛 化 树 ,对 于 这 样 的 属性 . 泛 化 基于 一 个 公共 值 的 属性 ,可 以 如 图 4-6(c) 
所 示 进 行 泛 化 。 泛 化 和 隐匿 的 核心 思想 是 以 数据 的 可 用 性 为 代价 ,换取 隐私 信息 的 安全 性 ， 
其 过 程 使 得 原本 不 同 的 QI 属性 值 变 成 相同 值 ,从 而 达到 了 匿名 化 的 目的 ,但 是 它 降 低 了 数 
据 的 精确 性 和 可 用 性 ,减少 了 记录 以 及 整个 数据 表 所 携带 的 信息 量 。 

通常 将 实现 该 算法 分 成 两 类 : 一 类 是 全 域 泛 化 , 另 一 类 是 局 域 泛 化 。 由 于 全 域 泛 化 研 
究 较 早 ,所 以 全 域 泛 化 比 局 域 泛 化 要 多 一 些 。 全 域 泛 化 是 指 同一 属性 的 所 有 值 来 自 于 泛 化 
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[1, 10] Country 
[1,3] [6, 10] America Asia 

| | | North South West East 

， 36 [7,8] 9 
Li | USA Canda Brazil Mexico Iran Eygpt India Japan 
7 

(a) 数值 型 资料 泛 化 (b) Country 泛 化 树 
Occupation 


Tech-support Armed-Forces Teacher Doctor Salesman 
(c) Occupation 泛 化 树 


4-6 泛 化 树 


树 的 同一 个 层次 。 例 如 ,生日 的 所 有 值 要 么 只 有 年 ,要么 既 有 年 又 有 月 。 全 域 泛 化 的 一 个 好 
处 是 匿名 表 有 统一 的 泛 化 度 , 但 是 会 造成 严重 的 信息 损失 。 局 域 泛 化 是 指 属性 值 可 以 被 泛 
化 到 泛 化 树 的 不 同 层 。 可 以 说 局 域 泛 化 是 一 种 普通 的 泛 化 ,全 域 泛 化 是 局 域 泛 化 的 特例 。 

2. 聚 类 

如 果 将 有 & 个 属性 的 数据 表 中 的 n 条 记录 看 成 是 d 维 空 间 中 的 nn 个 点 ,那么 匿名 化 的 
求解 过 程 就 可 以 转化 成 如 下 聚 类 问题 的 求解 过 程 一 一 如 何 将 这 个 点 聚 成 若干 类 ,并 使 其 
满足 : @ 每 个 类 中 至 少 含有 kk 个 点 ; 加 生成 类 的 代价 最 小 。 生 成 的 类 就 相当 于 等 价 组 ,而 造 
成 的 信息 损失 量 可 以 用 生成 类 的 代价 来 衡量 。 

把 K- 匿 名 问题 看 做 聚 类 问题 ,在 聚 类 时 找到 一 个 聚 类 集 ( 也 就 是 等 价 类 ) ,每 个 聚 类 集 
中 至 少 包含 K 条 记录 。 为 了 最 大 的 保证 数据 质量 ,需要 在 每 个 聚 类 集中 的 记录 尽 可 能 相 
似 , 这 样 可 以 保证 聚 类 集 在 同一 聚 类 中 修改 为 相同 准 标识 符 值 时 ,数据 损失 最 小 。 

天- 成 员 聚 类 : 令 S 是 一 个 有 n 条 记录 的 集合 ,K 是 具体 的 匿名 参数 ,那么 开 成员 聚 类 
问题 最 佳 解决 办 法 是 得 到 一 个 满足 下 列 条 件 的 聚 类 集 s 一 {el ，…,en}: 

(1) Vi¥j€E{l, ,mm)} ,ee=D; 


(2) Wd) y= 


(3) VeiEes,|ei| 二 区; 
(4) >) le XMAXij=1.slACp(L, 站 ,p(s 站) 是 最 小 的 。 


其 中 : |e| 是 聚 类 e 中 资料 点 的 数量 ; p(1, 让 表示 聚 类 e 中 第 i 个 资料 ; ACz,y) 是 两 个 数据 
工 和 y 的 距离 。 

K- 匿 名 需要 找到 合适 的 机 制 来 估算 泛 化 后 的 信息 损失 ,这 种 机 制 不 仅 能 应 用 于 数值 型 
数据 ,而 且 能 应 用 于 分 类 型 数据 的 信息 损失 计算 。 

数值 型 数据 之 间 的 距离 : 令 D 是 一 个 有 限 的 数字 域 .属于 D 两 个 值 v; 和 w; 间 的 距离 
正式 定义 为 : 6v (vi,vs) 二 vi 一 vz1/1DI。 其 中 1D| 是 属性 的 域 范围 ,由 D 中 最 大 值 . 最 小 
值 之 间 的 差 值 来 确定 。 

比如 表 4-7 中 的 记录 集 。 第 一 个 记录 和 第 二 个 记录 中 属性 Age 的 距离 可 以 这 样 计算 : 
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157 一 41|1/157 一 24| 一 0. 485 ,而 最 后 两 个 记录 中 属性 Age 的 距离 等 于 |24 一 451/157 一 24| 二 0. 636。 
两 个 值 之 间 的 距离 越 小 意味 着 彼此 越 相似 。 
表 4-7 基本 信息 表 
Country Occupation Age Salary 

R1 USA Armed-Forces 41 7000 

R2 India Tech-support 57 8000 

R3 Canada Teacher 40 5000 

R4 Iran Tech-support 38 5000 

R5 Brazil Doctor 24 7000 

R6 Mexico Salesman 45 8000 


分 类 型 数据 之 间 的 距离 : 令 D 是 一 个 分 类 域 ,Tp 是 D 上 的 一 个 分 类 树 ,HH(T) 表 示 树 
T 的 高 度 , 和 (Vi,Vj) 表 示 V; 和 V; 在 分 类 树 中 具有 最 小 相同 公共 祖先 的 子 树 ,D 中 两 个 值 
vi 和 w; 间 的 距离 为 

cvi50) = HON (Vi,Vi))/H(TD) 

例如 ,图 4-6(b) 中 Country 的 泛 化 树 , 泛 化 树 中 India 和 USA 的 距离 是 3/3 二 1, 而 
India 和 Iran 的 距离 是 2/3 王 0. 66。 属 性 图 4-6(c)Occupation 和 它 的 分 类 树 只 有 一 层 ,那么 
两 个 不 同 值 之 间 的 距离 始终 是 1。 

两 个 记录 间距 离 : 令 表 工 的 准 标识 符 为 QI 一 {Ni Na :CC ,NiGi 二 1,…,m) 是 数 
值 型 属性 ,C; (二 1,…,n) 是 分 类 型 属性 ,ri;[LAJ] 表 示 属 性 A 在 记录 ~ 中 的 值 ,bv 表示 定义 3 
中 的 距离 函数 ,6c 表示 定义 4 中 的 距离 函数 ,那么 两 个 记录 rl 和 rs 的 距离 为 

Alrisrs) 一 2 6w (Criyra) 十 3 B06 Cn) 


信息 损失 : 令 e= {ni，… .4 是 一 个 聚 类 (也 就 是 等 价 类 ) ,这 里 准 标识 符 有 数值 型 届 性 
CNi,…,N，) 和 分 类 属性 (Ci,…,C,),Tc 是 由 分 类 属性 C; 的 域 定义 的 分 类 树 , MINw, 和 
MAXw 分 别 是 e 中 关于 属性 Ni 的 最 大 值 和 最 小 值 , 令 UC; 是 e 中 关于 属性 C; 的 值 的 并 
集 ,那么 泛 化 e 产 生 的 信息 损失 量 ,可 以 表示 为 IL(e): 

IL(e)=|e |xD(e) 
(MAXN 一 MINw ) 这 
Deey 2 | 0 
其 中 : |e| 是 e 中 记录 的 个 数 ; | N| 表 示 数 值 域 的 范围 ， 和 (UCG) 是 在 UC 中 每 个 值 具有 最 低 的 
公共 祖先 的 子 树 ; 五 CT 是 树 的 高 度 : MAXx 和 MINw 表示 。 中 关于 属性 Ni 的 最 大 值 和 最 小 值 。 
整体 信息 损失 : 令 6 二 {e1,… ,em) 是 匿名 表 AT 中 所 有 等 价 类 集合 ,那么 表 AT 的 整体 
信息 损失 程度 的 公式 为 


Total 一 下 (AT) = BeslIL (Ce) 
3. 交换 
扰乱 和 添加 噪音 等 技术 ,都 是 保护 隐私 信息 的 常用 技术 ,在 数据 挖掘 等 领域 早已 有 过 广泛 
应 用 ,这 些 方法 理论 上 可 以 保护 资料 的 隐私 ,但 是 在 实际 应 用 中 发 布 的 数据 已 经 失真 ,失去 
oem K- 匿 名 模型 提出 后 ,交换 技术 又 有 了 新 的 突破 ， 
凭借 其 独特 的 优势 成 为 了 面向 发 布 的 数据 表 匿 名 化 的 重要 方法 .并 得 到 了 研究 者 的 普遍 关注 。 
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泛 化 和 聚 类 的 匿名 化 技术 虽然 过 程 不 同 ,但 是 它们 都 使 用 了 泛 化 的 方法 ,通过 将 QI 属 
性 值 从 特殊 变 得 一 般 , 使 QI 属性 和 隐私 属性 在 记录 中 的 一 对 一 关系 便 成 了 在 等 价 组 中 的 
多 对 多 关系 ,从 而 达到 匿名 化 。 而 基于 交换 的 匿名 化 技术 则 不 需要 进行 泛 化 ,Anatomy 和 
(R,e)-Anonymity 是 典型 的 采用 交换 来 实现 匿名 化 的 模型 。Anatomy 和 (CR,e)-Anonymity 
都 是 首先 将 数据 表 划 分 成 若干 等 价 组 ,Anatomy 把 QI 属性 和 隐私 属性 分 成 两 个 表 后 不 进 
行 泛 化 就 直接 发 布 ,两 者 之 间 通 过 “组 号 ?来 链接 ,而 (&,.e)-Anonymity 则 随机 调换 组 内 记录 
之 间 QI 属性 与 隐私 属性 ,这 样 记 录 的 QI 属性 将 保持 原 值 ,但 任何 一 条 记录 都 有 一 组 隐私 
属性 值 ,并 且 等 价 组 内 隐私 属性 值 的 范围 至 少 为 。。 分 别 举例 作 以 下 说 明 。 

(1) Anatomy 方法 。 对 于 表 4-8 的 原始 资料 表 ,Anatomy 发 布 一 个 准 标 识 符 表 (QIT) 
和 一 个 敏感 属性 表 (ST) ,这 两 个 表 将 准 标识 符 属 性 和 敏感 属性 分 开 。 两 个 表 之 间 通 过 组 编 
号 groupID 连接 。 表 4-9(a) 和 表 4-9(b) 分 别 表示 QIT 和 ST。Anatomy 能 够 防止 隐私 泄露 
是 因为 QIT 的 每 个 元 组 没有 包含 敏感 属性 值 ,只 能 从 ST 表 中 猜 出 敏感 属性 值 的 概率 。 假 
如 攻击 者 知道 Bob 的 年 龄 23 岁 ,zipcode 是 11000, 因 此 从 QIT( 见 表 4-6(a)) 中 ,攻击 者 得 
出 元 组 1 是 Bob, 但 是 并 没有 得 出 关于 他 的 任何 疾病 信息 ,只 得 到 元 组 1 的 组 编号 。 从 ST 
( 见 表 4-9(b)) 中 ,攻击 者 得 出 在 groupID 为 1 的 4 个 元 组 中 ,50% 是 dyspepsia (或 
pneumonia) 。 除 此 之 外 ,攻击 者 并 没有 得 到 更 多 的 信息 。 因 此 攻击 者 只 能 推出 Bob 患 有 
dyspepsia( 或 pneumonia) 的 概率 是 50% ,无 法 确定 所 患 何 种 疾病 ,在 一 定 程 度 上 ,保护 了 用 
户 的 隐私 。 


表 4-8 原始 资料 表 


age Sex zipcode disease 
23 M 11000 pneumonia 
27 M 13000 dyspepsia 
35: M 59000 dyspepsia 
59 M 12000 pneumonia 
61 F 54000 flu 

65 F 25000 gastritis 
65 F 25000 flu 

70 F 30000 bronchitis 


(2) (R,e)-Anonymity。 表 4-10 为 原始 资料 表 , 表 4-11 为 匿名 化 的 符合 (3,2000)- 
Anonymity 的 工资 表 。 在 这 里 二 3, 指 每 个 等 价 组 至 少 含 有 3 条 记录 ; e 一 2000, 指 每 个 等 
价 组 salary 的 区 间 范 围 至 少 为 $2000。 通 过 元 组 交换 ,元 组 所 对 应 的 敏感 属性 值 已 经 发 生 
变化 ,每 个 等 价 组 对 应 一 组 敏感 属性 值 。 假 如 攻击 者 知道 Alex 年 龄 35 岁 , zipcode 为 
27101 ,他 可 以 推断 出 Alex 的 工资 在 $54000 与 $56000 之 间 , 但 是 他 无 法 推断 出 Alex 的 准 
确 工资 。e 的 值 越 大 .隐私 保护 程度 越 高 。 

Anatomy 和 (k,e)-Anonymity 的 共同 特点 是 : 首先 .按照 将 数据 表 中 的 记录 划分 若干 
组 ; 然后 ,将 QI 属性 和 隐私 属性 分 割 开 ,并 进行 交换 ,使 一 组 QI 属性 和 隐私 属性 由 原来 的 
一 对 一 关系 变 成 一 组 QI 属性 可 能 对 应 到 等 价 组 中 所 有 隐私 属性 的 一 对 多 关系 ,从 而 达到 
匿名 化 的 目的 。 基 于 交换 的 匿名 化 技术 的 优势 在 于 它 能 精确 地 保存 QI 属性 值 ,大 幅度 提 
高 数据 的 可 用 性 ,尤其 在 集合 型 查询 等 应 用 中 的 可 用 性 。 
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表 4-9 Anatomy 匿名 表 
(a) 准 标识 符 表 (QIT) 
row 井 age Sex zipcode groupID 
1 23 M 11000 和 
2 27 M 13000 1 
3 35 M 59000 1 
4 59 M 12000 1 
5 61 F 54000 2 
6 65 F 25000 2 
7 65 F 25000 2 
8 70 F 30000 2 
(b) 敏感 属性 表 (ST) 
groupID disease count 
中 dyspepsia 迪 
1 pneumonia 多 
2 bronchitis 1 
2 flu 2 
分 gastritis 1 
表 4-10 工资 表 
ID Quasi-identifiers Sensitive 
tuple ID 
name age zipcode gender salary 
1 Alex 35 27101 M $54000 
区 Bob 38 27120 M $55000 
3 Carl 40 27130 M $56000 
4 Debra 41 27229 F $65000 
5 Elain 43 27269 F $75000 
6 Frank 47 27243 M 3 70000 
党 Gary 52 27656 M b 80000 
8 Helen 53 27686 F $75000 
9 Jason 58 27635 M b 85000 
表 4-11 (3.2000)-Anonyi 
Quasi-identifiers Sensitive 
group ID tuple ID 
age zipcode gender salary 
1 Y 5 27101 M $54000 
1 2 38 27120 M $55000 
和 3 40 27130 M $56000 
4 41 27229 F $65000 
2 5 43 27269 F $75000 
2 6 47 27243 M $70000 
3 52 27656 M $80000 
3 8 53 27686 F $75000 
3 9 58 27635 M $85000 
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习题 4 


. 数据 库 安全 与 操作 系统 安全 的 主要 区 别 是 什么 ? 
. 数据 库 安全 主要 有 哪些 安全 威胁 ? 
. 什么 是 数据 库 的 可 靠 性 和 完整 性 ? 


什么 是 敏感 数据 ? 
多 级 数据 库 的 安全 问题 有 哪些 ? 


. 常用 的 推理 控制 方法 有 哪些 ? 
. 匿名 化 有 哪些 实现 技术 ? 


第 5 竟 漏洞 检测 


对 于 网 络 信 息 系 统 的 安全 而 言 , 仅 具有 事后 追查 或 实时 报警 功能 的 安全 检测 装备 是 不 
够 的 ,还 需要 具备 系统 安全 漏洞 扫描 能 力 的 事先 检查 型 安全 工具 。 系 统 漏洞 检测 又 称 漏 洞 
扫描 , 即 对 重要 网 络 信 息 系 统 进 行 检 查 ,发 现 其 中 可 被 攻击 者 利用 的 漏洞 。 


s.1 漏洞 概述 


5.1.1 漏洞 的 危害 


漏洞 也 叫 脆弱 性 (vulnerability) ,是 计算 机 系统 在 硬件 .软件 .协议 的 具体 实现 或 系统 安 
全 策略 上 存在 的 缺陷 或 者 不 足 。 漏 洞 一 旦 被 发 现 ,就 可 以 使 用 这 个 漏洞 获得 计算 机 系统 的 
额外 权限 ,使 攻击 者 能 够 在 未 授权 的 情况 下 访问 或 者 破坏 系统 ,从 而 导致 危害 计算 机 系统 
安全 : 

安全 漏洞 的 大 量 存在 给 人 们 带 来 了 不 同 程度 的 危害 ,它们 (病毒 .木马 . 蜂 虫 和 黑客 攻 
击 ) 绝 大 多 数 是 利用 网 络 系统 或 软件 中 存在 的 安全 漏洞 来 达到 破坏 系统 .窃取 机 密 信 息 等 目 
的 。 例 如 2007 年 4 月 出 现 的 ANI. Gen 是 一 个 利用 微软 Windows 系统 ANI 文 件 处 理 漏洞 
(MS07-017) 进 行 传播 的 网 络 蠕虫 ,该 漏洞 的 利用 程序 通常 伪装 成 一 个 图 片 ,只 要 点 击 了 带 
有 恶意 代码 图 片 的 网 站 或 邮件 就 会 被 感染 上 恶意 程序 。 没 有 安装 补丁 的 机 器 一 旦 打开 了 包 
含 恶意 代码 的 网 站 或 邮件 ,病毒 或 恶意 程序 就 会 立即 在 后 台 运 行 , 在 没有 任何 反应 的 情况 下 
使 用 户 的 机 器 中 上 盗号 木马 、 恶 意 广告 软件 .蠕虫 病毒 等 。 


5.1.2 漏洞 产生 的 原因 


漏洞 的 成 因 很 多 ,一般 有 以 下 几 类 。 

1. 网 络 协议 漏洞 

TCP/IP 协议 组 是 目前 使 用 最 为 广泛 的 网 络 互 连 协议 之 一 。 但 TCP/IP 协议 在 设计 时 
是 将 它 置 于 可 信和 的 环境 之 下 ,并 将 网 络 互 连 和 开放 性 作为 首要 考虑 的 问题 ,而 没有 过 多 的 考 
虑 安全 性 。 这 就 造成 了 TCP/IP 协议 族 本 身 的 不 安全 性 ,导致 一 系列 基于 TCP/IP 的 网 络 
服务 的 安全 性 也 相当 脆弱 。 

2. 应 用 软件 系统 漏洞 

任何 一 种 软件 系统 都 或 多 或 少 存在 一 定 的 脆弱 性 ,安全 漏洞 可 以 看 做 是 已 知 的 系统 脆 
弱 性 。 例 如 ,一 些 程序 只 要 接收 到 一 些 异 常 或 者 超 长 的 数据 和 参数 ,就 会 导致 缓冲 区 溢出 。 
这 是 因为 很 多 软件 在 设计 时 忽略 或 者 很 少 考虑 安全 性 问题 ,即使 在 软件 设计 中 考虑 了 安全 
性 ,也 往往 因为 开发 人 员 缺 乏 安 全 培训 或 没有 安全 经 验 而 造成 了 安全 漏洞 。 应 用 软件 系统 
的 漏洞 有 两 种 : 一 是 由 于 操作 系统 本 身 设 计 缺 陷 带 来 的 安全 漏洞 ,这 种 漏洞 将 被 运行 在 该 
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系统 上 的 应 用 程序 所 继承 ; 二 是 应 用 软件 程序 的 安全 漏洞 。 

3. 配置 不 当 引 起 的 漏洞 

在 一 些 网 络 系统 中 忽略 了 安全 策略 的 制定 ,即使 采取 了 一 定 的 网 络 安全 措施 ,但 由 于 系 
统 的 安全 配置 不 合理 或 不 完整 ,安全 机 制 没 有 发 挥 作用 ; 或 者 在 网 络 系统 发 生变 化 后 ,由 于 
没有 及 时 更 改 系统 的 安全 配置 而 造成 安全 漏洞 。 


5.2 漏洞 的 分 类 标准 和 分 级 规范 


5.2.1 漏洞 的 分 类 标准 


系统 安全 漏洞 主要 概括 为 以 下 几 方 面 特征 属性 : 漏洞 被 攻击 者 利用 的 方式 ,漏洞 形成 
的 主要 原因 ,漏洞 对 系统 安全 造成 的 危害 ,漏洞 对 系统 安全 造成 的 直接 威胁 ,漏洞 的 触发 条 
件 ,漏洞 的 操作 角度 ,漏洞 的 发 生 时 序 。 下 面 根据 这 几 个 方面 对 系统 漏洞 进行 分 类 。 

1) 根据 漏洞 被 攻击 者 利用 的 方式 分 类 

本 地 漏洞 : 攻击 者 是 系统 本 地 的 合法 用 户 或 已 经 通过 其 他 攻击 方法 获得 了 本 地 权限 的 
非法 用 户 。 攻 击 者 必须 在 本 机 拥有 访问 权限 前 提 下 才能 发 起 攻击 的 漏洞 。 比 较 典 型 的 是 本 
地 权限 提升 漏洞 ,这 类 漏洞 在 UNIX 系统 中 广泛 存在 ,能 让 普通 用 户 获 得 最 高 管理 员 权限 。 

远程 漏洞 : 攻击 者 是 指 通过 网 络 , 对 连接 在 网 络 上 的 任意 一 台 机 器 进行 的 攻击 。 可 分 
为 入侵 攻击 与 破坏 攻击 两 种 方式 。 攻 击 者 可 以 利用 并 直接 通过 网 络 发 起 攻击 的 漏洞 。 这 类 
漏洞 危害 极 大 ,攻击 者 能 随心 所 欲 地 通过 此 漏洞 操作 他 人 的 电脑 。 并 且 此 类 漏洞 很 容易 导 
致 蠕虫 攻击 。 

2) 根据 漏洞 形成 的 主要 原因 分 类 

同一 系统 漏洞 ,对 其 不 同 抽 象 层次 研究 ,可 能 会 归 为 不 同 的 形成 原因 。 

输入 验证 错误 (Input Validation Error): 由 于 未 对 用 户 输入 数据 的 合法 性 进行 验证 ,使 
攻击 者 非法 进入 系统 。 

缓冲 区 溢出 (Buffer Overflow): 由 于 向 程序 的 缓冲 区 中 录入 的 数据 超过 其 规定 长 度 ， 
造成 缓冲 区 溢出 ,破坏 程序 正常 的 堆栈 ,使 程序 执行 其 他 命令 。 

设计 错误 (Design Error) : 由 于 程序 设计 错误 而 导致 的 漏洞 。 其 实 , 大 多 数 的 漏洞 都 属 
于 设计 错误 。 

意外 情况 处 置 错 误 (Exceptional Condition Handling Error): 由 于 程序 在 实现 逻辑 中 
没有 考虑 到 一 些 意外 情况 ,而 导致 运行 出 错 。 

访问 验证 错误 (Access Validation Error) : 由 于 程序 的 访问 验证 部 分 存在 某 些 逻 辑 错 
误 ,使 攻击 者 可 以 绕 过 访问 控制 进入 系统 。 

配置 错误 (Configuration Error) : 由 于 系统 和 应 用 的 配置 有 误 .或 配置 参数 .访问 权限 、 
策略 安装 位 置 有 误 。 

竞争 条 件 (Race Condition) : 由 于 程序 处 理 文件 等 实体 在 时 序 和 同步 方面 存在 问题 , 存 
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在 一 个 机 会 窗口 使 攻击 者 能 够 施 以 外 来 的 影响 。 

环境 错误 (Condition Error) : 由 于 一 些 环境 变量 的 错误 或 恶意 设置 造成 的 漏洞 。 

3) 根据 漏洞 对 系统 安全 造成 的 危害 分 类 

根据 漏洞 对 系统 安全 造成 的 危害 可 分 为 : 获得 普通 用 户 权 限 ,获得 其 他 用 户 权限 。 

4) 根据 漏洞 对 系统 安全 造成 的 直接 威胁 分 类 

根据 漏洞 对 系统 安全 造成 的 直接 威胁 可 分 为 : 普通 用 户 访问 权限 ,权限 提升 ,本 地 管理 
员 权 限 ,远程 管理 员 权 限 ,本 地 拒绝 服务 ,远程 拒绝 服务 ,服务 器 信息 泄露 ,远程 非 授 权 文件 
存 取 , 读 取 受 限 文件 ,口令 恢复 ,欺骗 等 。 

事实 上 一 个 系统 漏洞 对 安全 造成 的 威胁 远 不 限于 它 的 直接 可 能 性 ,如 攻击 者 获得 了 系 
统 的 普通 用 户 访 问 权 限 , 就 极 有 可 能 利用 本 地 漏洞 升级 为 管理 员 权 限 。 

5) 根据 漏洞 的 触发 条 件 分 类 

主动 触发 漏洞 ,攻击 者 可 以 主动 利用 该 漏洞 进行 攻击 ,如 直接 访问 他 人 计算 机 。 

被 动 触发 漏洞 ,必须 要 计算 机 的 操作 人 员 配 合 才 能 进行 攻击 利用 的 漏洞 。 比 如 攻击 者 
给 管理 员 发 一 封 邮件 , 带 了 一 个 特殊 的 jpg 图 片 文件 ,如 果 管 理 员 打开 图 片 文件 就 会 导致 看 
图 软件 的 某 个 漏洞 被 触发 ,从 而 系统 被 攻击 ,但 如 果 管 理 员 不 看 这 个 图 片 则 不 会 受 攻 击 。 

6) 根据 漏洞 的 操作 角度 分 类 

文件 操作 类 型 ,主要 为 操作 的 目标 文件 路 径 可 被 控制 (如 通过 参数 .配置 文件 .环境 变 
量 ,符号 链接 等 ) ,这 样 就 可 能 导致 下 面 两 个 问题 : 写 和 内容 可 被 控制 ,从 而 可 伪造 文件 内 
容 ,导致 权限 提升 或 直接 修改 重要 数据 (如 修改 存 贷 数 据 ) ,内容 信息 可 被 输出 ,包含 内 容 被 
打印 到 屏幕 .记录 到 可 读 的 日 志文 件 .产生 可 被 用 户 读 的 core 文件 等 。 

内 存 覆 盖 , 主要 为 内 存单 元 可 指定 , 写 和 内容 可 指定 ,这 样 就 能 执行 攻击 者 想 执行 的 代 
码 ( 缓 冲 区 游 出、 格式 串 漏洞 .PTrace 漏洞 .历史 上 Windows 2000 的 硬件 调试 寄存 器 用 户 可 
写 漏洞 ) 或 直接 修改 内 存 中 的 机 密 数据 。 

逻辑 错误 ,这 类 漏洞 广泛 存在 ,但 很 少 有 范式 ,所 以 难以 察觉 ,可 细 分 为 : 外 部 命令 执行 
问题 ,典型 的 有 外 部 命令 可 被 控制 (通过 PATH 变量 ,输入 中 的 SHELL 特殊 字符 等 ) 和 
SQL 注入 问题 。 

7) 根据 漏洞 发 生 的 时 序 分 类 

已 发 现 很 久 的 漏洞 : 厂商 已 经 发 布 补丁 或 修补 方法 ,很 多 人 都 已 经 知道 。 这 类 漏洞 通 
常 很 多 人 已 经 进行 了 修补 ,宏观 上 看 危害 比较 小 。 

刚 发 现 的 漏洞 : 厂商 刚 发 补丁 或 修补 方法 .知道 的 人 还 不 多 。 相 对 于 上 一 种 漏洞 其 危 
害 性 较 大 ,如 果 此 时 出 现 了 蠕虫 或 傻瓜 化 的 利用 程序 ,将 会 导致 大 批 系 统 受 到 攻击 。 

Oday: 还 没有 公开 的 漏洞 ,在 私下 交易 中 的 。 这 类 漏洞 通常 对 大 众 不 会 有 什么 影响 ,但 
会 导致 攻击 者 瞄准 的 目标 受到 精确 攻击 ,危害 也 是 非常 之 大 。 


5.2.2 漏洞 的 分 级 规范 


系统 安全 漏洞 分 类 与 分 级 是 对 漏洞 不 同 抽象 层次 的 特征 属性 进行 描述 。 某 些 系 统 的 分 
类 是 在 系统 安全 漏洞 的 分 类 基础 上 进行 的 ,如 攻击 系统 要 依据 系统 安全 漏洞 分 类 基础 进行 
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分 类 ,还 有 一 些 安全 事件 的 处 理 方法 也 要 依据 系统 安全 漏洞 来 制定 。 所 以 ,一 套 完善 的 系统 
安全 漏洞 分 级 分 类 标准 是 基础 。 依 照 前 人 理论 研究 的 基础 ,以 及 对 国外 权威 网 站 的 漏洞 信 
息 进行 分 析 整 理 统计 ,提出 了 下 面 的 分 级 分 类 标准 。 

系统 安全 漏洞 根据 其 对 系统 造成 的 潜在 威胁 (破坏 性 、 危 害 性 、 严 重 性 ) 以 及 被 利用 的 可 
能 性 进行 分 级 ,分 为 紧急 、 重 要 中 等 、 低 等 四 级 。 

1) 第 一 等 级 : 紧急 

定义 : 对 “紧急 ?级别 漏 洞 的 利用 可 以 导致 网 络 蠕虫 和 病毒 在 用 户 不 知情 的 情况 下 在 网 
络 上 任意 传播 和 繁殖 。 

对 于 被 评 为 “紧急 ”的 安全 漏洞 ,需要 立即 安装 升级 包 ( 补 丁 程序 ) 。 

2) 第 二 等 级 : 重要 

定义 : 对 “重要 ”级 别 漏洞 的 利用 可 以 导致 严重 的 后 果 , 以 致 危害 到 用 户 数据 、 相 关 资 源 
的 机 密 性 .完整 性 和 有 效 性 。 

对 于 被 评 为 “重要 ”的 安全 漏洞 ,需要 安装 升级 包 ( 补 丁 程 序 ) 。 


3) 第 三 等 级 : 中 等 
定义 : 由 于 默认 配置 .审核 或 难以 利用 等 因素 的 影响 ,“ 中 等 ”级别 漏洞 的 利用 效果 显著 
降低 。 


关于 “中 等 ?系统 安全 漏洞 则 应 该 在 阅读 安全 信息 以 后 判断 该 安全 漏洞 是 否 对 此 系统 产 
生 影 响 。 在 此 基础 上 ,确认 升级 包 不 会 影响 到 系统 之 后 ,可 以 采用 并 安装 。 

4) 第 四 等 级 : 低 等 

定义 : 对 于 “ 低 等 "级 别 漏洞 的 利用 效果 已 降 至 最 低 限度 ,漏洞 利用 难度 非常 大 。 

关于 “ 低 等 "系统 安全 漏洞 则 应 该 在 阅读 安全 信息 以 后 判断 该 安全 漏洞 是 否 对 此 系统 产 
生 影响 。 在 此 基础 上 ,确认 升级 包 不 会 影响 到 系统 之 后 ,可 以 采用 并 安装 。 

几乎 所 有 的 用 户 都 不 会 受到 影响 的 安全 性 漏洞 将 被 评级 为 “ 低 等 "。 但 这 并 不 意味 着 完 
全 不 会 受到 影响 ,因此 需要 与 “中 等 ”一样 ,在 阅读 安全 信息 以 后 ,根据 需要 来 决定 是 否 采用 
该 升级 包 。 


5.3 漏 洞 库 


5.3.1 漏洞 库 概 述 


漏洞 数据 库 就 是 把 所 有 的 系统 安全 漏洞 机 器 相关 信息 都 输 到 数据 库 中 ,方便 用 户 检索 
自己 的 系统 会 有 哪些 漏洞 .可 能 的 危害 `. 如 何 安装 补丁 ` 补 丁 信息 的 链接 地 址 等 。 漏 洞 数据 
库 的 基本 功能 主要 包括 以 下 三 点 。 

(1) 帮助 用 户 确认 自身 应 用 环境 中 可 能 存在 的 安全 漏洞 ,提供 基本 的 漏洞 信息 查询 。 
每 当 用 户 引 入 新 的 应 用 并 享用 其 带 来 的 便利 时 ,这 个 新 的 应 用 也 可 能 带 来 了 已 知 或 未 知 的 
安全 漏洞 ,给 攻击 者 提供 了 新 的 攻击 渠道 。 通 过 查询 一 个 信息 完备 的 漏洞 数据 库 ,用 户 就 可 
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以 方便 地 了 解 到 自己 所 使 用 的 应 用 的 已 知 安全 漏洞 和 解决 方法 ,从 而 在 入 侵 发 生 之 前 修补 
漏洞 ,切断 攻击 通路 ,挫败 可 能 的 攻击 。 

(2) 安全 产品 厂商 可 以 基于 持续 更 新 的 漏洞 数据 库 和 用 户 的 应 用 布置 情况 ,在 用 户 所 
使 用 的 应 用 出 现 新 漏洞 时 ,为 用 户 提供 及 时 的 安全 预警 ,通知 用 户 采取 修补 措施 , 先 于 攻击 
者 实施 和 人 侵 堵 截 , 截 断 攻 击 者 的 非法 访问 途径 ,避免 损失 。 

(3) 为 安全 产品 厂商 基于 安全 漏洞 发 现 和 攻击 保护 类 产品 开发 提供 技术 和 数据 支持 。 

漏洞 数据 库 的 创建 和 维护 是 一 项 需要 大 量 精力 的 工作 。 一 个 好 的 漏洞 数据 库 应 该 体现 
在 以 下 几 个 方面 。 

(1) 覆盖 面 广 。 网络 已 经 介入 到 社会 生活 的 方方面面 ,应 用 数量 众多 ,而且 差异 大 ,好 
的 漏洞 数据 库 应 该 覆盖 尽 可 能 多 的 应 用 程序 .操作 系统 和 网 络 设备 ,使 用 户 能 尽 可 能 多 地 了 
解 攻击 者 潜在 的 入 侵 途 径 。 

(2) 准确 性 高 。 用 户 需要 准确 的 漏洞 描述 信息 ,以 帮助 他 们 应 对 因 漏洞 引起 的 安全 问 
题 。 如 提供 漏洞 影响 的 软件 版 本 信息 ,漏洞 可 能 造成 的 威胁 情况 .是否 可 远程 利用 以 及 相应 
修补 方案 ,不 仅 提供 补丁 下 载 地 址 ,最 好 还 能 提供 暂时 不 能 安装 补丁 时 的 临时 解决 方法 和 相 
应 的 操作 指示 等 。 

(3) 及 时 性 。 漏 洞 数据 库 需要 最 及 时 地 提供 信息 。 每 个 工作 日 都 应 该 向 用 户 提供 最 新 
的 漏洞 信息 ,在 攻击 者 采取 行动 之 前 ,第 一 时 间 帮 助 用 户 堵 住 安全 威胁 渠道 。 

(4) 完全 性 。 漏 洞 数据 库 应 该 提供 完全 的 漏洞 相关 信息 ,包括 提供 与 漏洞 相关 的 利用 
方法 和 攻击 代码 等 。 隐 藏 漏洞 相关 的 攻击 方法 ,无 助 于 为 用 户 提供 更 多 的 保护 ,只 会 使 用 户 
产生 漏洞 还 没有 确切 利用 方法 的 错觉 ,从 而 降低 他 们 对 漏洞 进行 处 理 的 优先 级 。 

漏洞 数据 库 一 般 包 括 以 下 详细 信息 。 

(1) 漏洞 基本 信息 : 漏洞 名 称 `.CVE 编号 、 本 地 编号 、 发 布 /更 新 时 间 等 。 

(2) 漏洞 分 类 分 级 信息 : 漏洞 级 别 /类 型 攻击 类 型 /效果 等 。 

(3) 参考 资源 信息 : 权威 网 站 中 与 此 漏洞 相关 的 信息 。 

(4) 受 影 响 的 系统 : 此 漏洞 对 哪些 系统 构成 威胁 的 信息 。 

(5) 关键 字 : 描述 此 漏洞 最 关键 的 信息 。 

(6) 补丁 信息 : 漏洞 补救 方法 、 补 丁 信息 和 补丁 下 载 地 址 信息 等 。 


5.3.2 CVE 漏洞 库 


大 部 分 安全 工具 都 设置 了 漏洞 数据 库 ,而 它们 之 间 存 在 明显 不 同 ,这 样 当 不 同 数据 库 指 
向 同一 问题 时 就 难以 统一 ,造成 安全 覆盖 面 存在 潜在 的 差异 ,而且 不 同 数据 库 和 工具 之 间 互 
用 性 差 。 国 际 漏 洞 标准 (Common Vulnerabilities and Exposure, CVE) 的 出 人 台 解 决 了 这 一 
问题 ,使 不 同 的 漏洞 数据 库 和 安全 工具 之 间 彼 此 交流 ,更 容易 共享 数据 库 ,方便 在 其 他 数据 
库 中 搜索 信息 。 通 过 此 标准 可 以 评估 每 个 工具 的 安全 覆盖 程度 ,从 而 可 以 判定 安全 工具 的 
有 效 性 和 适应 性 。CVE 是 安全 漏洞 及 其 他 信息 安全 风险 标准 名 称 的 列表 ,目的 是 使 所 有 已 
知 漏洞 和 安全 风险 的 名 称 标准 化 。 

CVE 的 目标 是 对 所 有 的 公认 的 漏洞 和 安全 暴露 建立 一 个 命名 标准 列表 , 它 使 用 了 通用 
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的 命名 ,使 得 所 有 符合 CVE 标准 的 安全 产品 能 够 通过 数据 库 和 工具 共享 数据 。CVE 的 建立 
有 以 下 的 特点 : @ 一 个 漏洞 或 者 一 个 暴露 有 自己 单独 的 名 称 , 如 上 面 提 到 的 CVE-1999-0014; 
四 对 于 目前 出 现 的 每 个 漏洞 和 暴露 都 进行 了 标准 描述 ; 加 它 是 一 个 字典 ,而 不 是 数据 库 ， 
@ 能 够 让 分 开 的 数据 库 和 安全 工具 用 同一 种 语言 “交谈 ”; @ 提 供 了 一 种 协同 工作 的 方式 ， 
安全 覆盖 面 更 广 ; @ 提 供 了 安全 工具 和 数据 库 安全 评估 的 标准 ; @ 方 便 从 Internet 上 下 载 
和 讨论 ; @ 通 过 CVE 编辑 板 得 到 行业 认可 。 

CVE 对 所 有 的 漏洞 和 暴露 的 描述 都 是 通过 条 目 (item) 来 命名 的 。CVE 所 有 的 条 目 中 
存在 两 种 状态 ,一 种 就 是 正式 Centry) 条 目 , 另 外 一 种 是 候选 (candidate) 条 目 。 当 一 个 漏洞 
被 发 现 后 (通过 全 球 用 户 的 反映 ,这 个 时 候 还 不 能 说 是 漏洞 ,只 能 说 是 安全 威胁 ) ,这 个 威胁 
就 给 冠 以 候选 条 目的 状态 , 写 入 CVE 的 条 目 列 表 。CVE 编辑 板 的 各 个 专家 就 可 以 对 新 加 
入 的 候选 条 目 进行 评价 和 投票 来 决定 这 个 条 目 是 否 可 以 成 为 正式 的 CVE 和 条目。 如果 能 够 
成 为 正式 条 目 , 则 发 布 到 CVE 的 网 站 上 。 

每 个 漏洞 都 有 自己 的 CVE 条 目 与 之 对 应 ,所 以 在 漏洞 数据 库 中 必须 存放 与 之 对 应 的 
CVE 条目 信息 ; 创建 该 漏洞 库 的 目的 不 仅仅 是 展示 条 目 给 用 户 ,而 是 帮助 用 户 解决 漏洞 ， 
因此 ,可 以 在 漏洞 数据 库 中 加 入 解决 方法 字段 ; 另外 可 以 加 入 检测 漏洞 的 程序 名 等 信息 ,让 
用 户 能 够 采用 其 余 的 工具 来 检测 是 否 具 有 这 个 漏洞 。 表 5-1 给 出 了 一 个 漏洞 数据 库 表 应 有 
的 结构 。 


表 5-1 漏洞 数据 库 的 表 结构 


字 段 名 数据 类 型 说 明 
CVEID(PK) char CVE 标准 中 对 这 个 漏洞 的 编号 
Name char 漏洞 的 名 称 
Eigenvalue char 漏洞 的 特征 值 
TestMethod char 测试 方式 或 者 测试 工具 名 称 
CVEDes char CVE 中 对 这 个 漏洞 的 描述 
Repair char 建议 修补 方案 以 及 补丁 地 址 
Port char 受 影响 的 端口 号 


5.3.3 其 他 漏洞 库 


其 他 比较 著名 的 网 络 安全 公司 或 组 织 ,如 Security focus 公司 、ISS 公司 ,AUSCERT 和 
DEBIAN 等 也 都 建立 了 自己 的 漏洞 数据 库 , 并 提供 了 相对 完备 的 漏洞 信息 和 多 样 的 查询 
手段 。 

我 国 在 这 方面 的 研究 还 处 于 起 步 阶 段 , 有 关 漏 洞 的 知识 和 整理 分 析 还 不 完备 ,必须 尽快 
建立 符合 我 国 实际 、. 权 威 、 完 备 的 漏洞 库 , 以 满足 我 国信 息 产 业 的 发 展 需要 。 

下 面 给 出 的 是 一 些 权 威 的 漏洞 库 站 点 : http: //www. securityfocus. com 国外 著名 
漏洞 发 布 站 点 , 即 Bugtraq; @http: //www. cert. org 美国 计算 机 应 急 响 应 小 组 ; @http: // 
www. nipc. org. cn 国家 计算 机 网 络 人 侵 防 范 中 心 ; @http: //nsfocus. com 绿 盟 科技 ; 
@http: //www. xfocus. net 网 络 安全 焦点 。 
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5.4 扫 撕 器 


5.4.1 扫描 器 的 基本 概念 


扫描 器 是 一 种 自动 检测 远程 或 本 地 系统 安全 性 弱点 (漏洞 ) 的 程序 。 目 标 可 以 是 工作 
站 、 服 务 器 ,交换 机 数据 库 应 用 等 各 种 对 象 。 例 如 通过 扫描 器 可 以 发 现 远 程 服务 器 的 各 种 
TCP 端口 的 分 配 及 提供 的 服务 和 它们 的 软件 版 本 ,这 就 间接 或 直接 地 了 解 到 远程 主机 所 存 
在 的 安全 问题 。 对 于 管理 者 来 说 ,扫描 器 是 一 种 网 络 安全 性 评估 软件 ,安全 扫描 技术 与 防火 
墙 、 安 全 监控 系统 互相 配合 能 够 提供 安全 性 很 高 的 网 络 ; 对 于 攻击 者 来 说 ,扫描 器 是 重要 的 
搜集 信息 的 工具 。 

安全 扫描 可 以 根据 完整 的 安全 漏洞 集合 ,进行 全 面 的 检测 ,而 这 些 安全 漏洞 集合 也 正 是 
导致 网 络 遭 受 破坏 的 主要 因素 ,因此 ,网 络 安全 扫描 可 以 在 网 络 漏洞 被 利用 之 前 协助 管理 者 
及 早 发 现 。 

根据 不 同 的 标准 ,安全 扫描 器 主要 可 以 分 为 以 下 两 类 。 

1) 主机 安全 扫描 器 和 网 络 安全 扫描 器 

这 种 分 类 方法 是 从 扫描 器 整体 结构 和 采用 的 扫描 检测 方法 的 不 同 出 发 的 。 主 机 型 安全 
扫描 器 的 代表 有 COPCS Tripwire Tiger 和 ISS SystemScanner 等 。 网 络 型 安全 扫描 器 的 
代表 有 ISS、Satan 和 Nessus 等 。 

2) 端口 安全 扫描 器 和 漏洞 安全 扫描 器 

这 种 方法 是 以 扫描 器 检测 对 象 的 性 质 不同 作 为 出 发 点 的 。 端 口 安全 扫描 器 检测 目标 主 
机 的 任意 TCP/UDP 端口 ,来 查看 目标 主机 提供 了 哪些 服务 ( 即 哪 些 服务 是 激活 的 ) ,另外 ， 
一 般 端 口 扫 描 器 还 包含 主机 状态 扫描 功能 , 即 具备 解析 扫描 和 Ping 扫描 功能 。 漏 洞 安全 扫 
描 器 自动 检测 目标 主机 和 网 络 上 设备 的 安全 漏洞 ,并 且 大 部 分 漏洞 安全 扫描 器 都 具备 端口 
安全 扫描 器 的 部 分 或 者 全 部 功能 。 


5.4.2 主机 扫描 


主机 扫描 的 目的 是 确定 在 目标 网 络 上 的 主机 是 否 可 达 。 

常用 的 传统 扫描 手段 有 如 下 几 种 。 

(1) ICMP Echo 扫描 。 发 送 ICMP Echo 请 求 , 然 后 等 待 ICMP Echo 应 答 。 如 果 收 到 
了 应 答 ,就 认为 目标 是 激活 状态 。 其 实 就 是 使 用 常规 的 ping 命令 ,ping 在 判断 一 个 网 络 上 
主机 是 否 开机 时 非常 有 用 。 向 目标 主机 发 送 ICMP Echo Request (type 8) 数 据 包 ,等 待 回 
复 的 ICMP Echo Reply 包 (type 0)。 如 果 能 收 到 , 则 表明 目标 系统 可 达 , 否 则 表明 系统 已 经 
不 可 达 或 发 送 的 包 被 对 方 的 设备 过 滤 掉 。 如 果 想 阻止 对 这 样 的 ICMP Echo 应 答 ,只 需要 禁 
止 ICMP Echo 即 可 。 

如 果 需 要 扫描 一 个 主机 上 甚至 整个 子 网 上 的 成 千 上 万 个 端口 ,首先 判断 一 个 主机 是 否 
开机 非常 重要 ,这 就 是 Ping 扫描 器 的 目的 。 

(2) ICMP Sweep 扫描 。 可 以 通过 并 行 发 送 , 同 时 扫描 多 个 目标 主机 ,以 提高 扫描 效 
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率 , 这 叫 ICMP Sweep 扫描 。 

(3) Broadcast ICMP 扫描 。 向 整个 局 域 网 发 送 ICMP Echo 请 求 。 这 样 的 请 求 会 被 广 
播 到 整个 局 域 网 ,网 中 激活 的 主机 会 送 ICMP Echo 应 答 。UNIX 系统 对 于 请 求 常常 会 送 网 
络 地 址 ,而 Windows 系统 常常 忽略 请 求 。 

(4) Non-Echo ICMP 扫描 。 一些 其 他 ICMP 类 型 包 也 可 以 用 于 对 主机 或 网 络 设 备 的 
扫描 ,如 Stamp Request(Type 13)、Reply(Type 14)、Information Request(Type 15) .Reply 
(Type 16)、Address Mask Request(Type 17) Reply(Type 18) 。 

防火 墙 和 网 络 过 滤 设 备 常 常 导致 传统 的 扫描 手段 变 得 无 效 。 为 了 突破 这 种 限制 ,必须 
采用 一 些 非常 规 的 手段 ,利用 ICMP 协议 提供 网 络 间 传送 错误 信息 的 手段 ,往往 可 以 更 有 效 
地 达到 目的 。 非 常规 的 扫描 手段 有 以 下 几 种 。 

(1) 异常 的 IP 包头。 向 目标 主机 发 送 包 头 错误 的 IP 包 ,目标 主机 或 过 滤 设 备 会 反馈 
“ICMP Parameter Problem Error” 消 息 。 常 见 的 伪造 错误 字段 为 Header Length Field 和 
IP Options Field。 根 据 RFC1122 的 规定 ,主机 应 该 检测 IP 包 的 Version Number、 
Checksum 字段 ,路 由 器 应 该 检测 IP 包 的 Checksum 字段 。 不 同 厂家 的 路 由 器 和 操作 系统 
对 这 些 错 误 的 处 理 方式 不 同 , 返 回 的 结果 也 各 异 。 如 果 结 合 其 他 手段 ,可 以 初步 判断 目标 系 
统 所 在 网 络 过 滤 设 备 的 访问 列表 ACL。 

(2) 在 IP 头 中 设置 无 效 的 字段 值 。 向 目标 主机 发 送 的 IP 包 中 填充 错误 的 字段 值 , 目 
标 主 机 或 过 滤 设 备 会 反馈 “ICMP Destination Unreachable” 消 息 。 这 种 方法 同样 可 以 扫描 
目标 主机 和 网 络 设备 以 及 其 ACL。 

(3) 错误 的 数据 分 片 。 当 目标 主机 接受 到 错误 的 数据 分 片 ( 如 某 些 分 片 丢失 ) ,并 且 在 
规定 的 时 间 间 隔 内 得 不 到 更 正 时 ,将 丢弃 这 些 错误 数据 包 , 并 向 发 送 主 机 反馈 “ICMP 
Fragment Reassembly Time Exceeded” 错 误 消息 。 利 用 这 种 方法 同样 可 以 检测 到 目标 主机 
和 网 络 过滤 设 备 及 其 ACL。 

(4) 通过 超 长 包 扫 描 内 部 路 由 器 。 若 构造 的 数据 包 长 度 超过 目标 系统 所 在 路 由 器 的 
PMTU 且 设 置 禁止 分 片 标志 ,该 路 由 器 会 反馈 “Fragmentation Needed and Don't Fragment 
Bit was Set” 错 误 消 息 , 从 而 获取 目标 系统 的 网 络 拓扑 结构 。 

(5) 反 向 映射 扫描 。 该 技术 用 于 扫描 被 过 滤 设 备 或 防火 墙 保护 的 网 络 和 主机 。 通 常 这 
些 系统 无 法 从 外 部 直接 到 达 。 如 想 扫 描 某 个 未 知 网 络 内 部 的 机 构 , 可 以 构造 可 能 的 内 部 IP 
地 址 列表 ,并 向 这 些 地 址 发 送 数据 包 。 当 对 方 路 由 器 接收 到 这 些 和 数据 包 时 ,会 进行 IP 识 
别 并 路 由 ,对 不 在 其 服务 范围 的 IP 包 发 送 “ICMP Host Unreachable” 或 “ICMP Time 
Exceeded” 错 误 消息 ,没有 接收 到 相应 错误 消息 的 IP 地 址 会 被 认为 在 该 网 络 中 。 当 然 ,这 种 
方法 也 会 受到 过 滤 设 备 的 影响 。 


5.4.3 漏洞 扫描 


漏洞 扫描 是 指 检测 远程 或 本 地 系统 存在 的 安全 缺陷 。 网 络 安全 漏洞 扫描 器 是 指 在 
Internet 上 通过 向 远程 或 本 地 主机 发 送 探测 数据 包 , 获 取 主 机 的 响应 ,并 根据 反馈 的 数据 
包 ,进行 解 包 和 分 析 , 从 而 检测 目标 网 络 或 主机 系统 漏洞 的 程序 。 简 单 地 说 ,扫描 器 的 工作 
原理 就 是 模拟 攻击 者 的 手法 主动 地 探测 目标 系统 ,发 现 和 分 析 网 络 系统 中 可 能 存在 的 各 种 
安全 隐患 ,将 扫描 结果 报告 给 用 户 ,并 向 用 户 提供 该 漏洞 的 相应 解决 方法 ,从 而 保障 网 络 和 
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系统 的 安全 ,避免 网 络 遭 受 恶意 用 户 再 次 利用 该 漏洞 实施 的 攻击 。 

一 个 漏洞 扫描 器 应 该 有 如 下 几 个 主要 的 功能 : 中 探测 扫描 目标 主机 并 且 对 其 工作 状态 
进行 识别 ; @@ 对 于 正在 运行 的 主机 ,能 够 识别 开放 的 端口 的 状态 及 提供 的 服务 ; 四 识别 目 
标 主机 系统 及 服务 程序 的 类 型 和 版 本 ,获取 相应 主机 的 系统 信息 ; 由 根据 已 知 漏洞 信息 , 进 
行 脆弱 性 分 析 。 

安全 漏洞 扫描 通常 采用 两 种 策略 ,第 一 种 是 被 动 式 策 略 ,第 二 种 是 主动 式 策略 。 所 谓 被 
动 式 策略 就 是 扫描 基于 主机 之 上 ,从 一 个 内 部 用 户 的 角度 来 检测 操作 系统 级 的 漏洞 ,主要 用 
于 检测 注册 表 和 用 户 配 置 中 的 漏洞 ,基于 主机 的 扫描 优势 在 于 它 能 直接 获取 主机 操作 系统 
的 底层 细节 ,如 特殊 服务 和 配置 的 细节 等 ,其 缺点 在 于 只 有 控制 了 目标 主机 ,并 将 检测 工具 
安装 在 目标 主机 ,才能 实施 正常 的 扫描 活动 ; 而 主动 式 策 略 是 基于 网 络 的 , 它 通 过 执行 一 些 
脚本 文件 .模拟 对 系统 进行 攻击 的 行为 并 记录 系统 的 反应 ,从 而 发 现 其 中 的 安全 漏洞 , 它 从 
外 部 攻击 者 的 角度 对 网 络 及 系统 架构 进行 扫描 ,主要 用 于 查找 目标 开放 的 端口 .提供 的 网 络 
服务 及 协议 中 的 漏洞 ,同时 能 够 有 效 地 发 现 那些 基于 主机 的 扫描 所 不 能 发 现 的 网 络 设备 漏 
洞 , 如 路 由 器 、 交 换 机 、 远 程 访问 服务 和 防火 墙 等 存在 的 漏洞 。 利 用 被 动 式 的 策略 扫描 称 为 
系统 (主机 ) 安 全 扫描 ,利用 主动 式 的 策略 扫描 称 为 网 络 安全 扫描。 


5.4.4 端口 扫描 


常见 的 端口 扫描 方式 主要 有 以 下 几 种 。 

1. TCP Conneet() 扫描 

这 是 最 简单 的 扫描 方式 。 扫 描 程 序 依次 尝试 和 要 扫描 的 各 端口 建立 正常 的 TCP 连接 ， 
如 果 成 功 , 则 说 明 该 端口 开放 ,否则 端口 不 开放 。 

TCP Connect 扫描 也 称 TCP 全 连接 扫描 ,是 最 基本 的 TCP 扫描 方法 。 其 原理 是 ,扫描 
主机 通过 与 扫描 的 目标 机 器 的 制定 端口 建立 一 次 完整 的 TCP 连接 ,以 确定 目标 主机 所 开放 
的 端口 。 扫 描 主 机 调用 系统 的 Connect() 函 数 ,尝试 与 目标 主机 建立 一 个 TCP 连接 ,如 果 
被 扫描 的 端口 开放 , 则 连接 建立 成 功 ; 否则 ,返回 一 1, 表 明 该 端口 关闭 。 通 过 前 面 的 TCP 
连接 建立 的 三 次 握手 过 程 可 知 , 若 建立 TCP 连接 成 功 ,目标 主机 会 发 送 一 个 确认 报 文 给 扫 
描 主 机 ,其 中 SYN==1,ACK 二 1。 则 扫描 主机 接收 到 该 报 文 后 ,可 知 目标 主机 的 目标 端口 处 
于 监听 (开放 ) 状 态 ; 建立 连接 失败 时 ,目标 主机 会 向 扫描 主机 发 送 RST 响应 ,表明 目标 端 
口 处 于 关闭 状态 。 

TCP Connect() 扫 描 的 优点 是 不 需要 任何 特殊 的 权限 ,系统 任何 用 户 都 可 以 调用 
Connect() 函数 ; 且 该 方法 的 速度 快 。 但 TCP Connect() 方 法 的 缺点 是 它 很 容易 被 发 觉 ,并 
且 容 易 被 防火 墙 过 滤 掉 ,并 且 目标 主机 的 日 志文 件 会 记录 一 系列 有 关 该 服务 的 连接 信息 。 

利用 nmap 的 -sT 选项 可 以 进行 TCP Connect() 扫 描 。 对 202. 119. 201. 74 进行 扫描 ， 
结果 如 图 5-1 所 示 。 

通过 扫描 结果 可 以 得 到 202. 119. 201. 74 的 4 个 端口 的 信息 。 

2. TCP SYN 扫描 

这 种 技术 通常 认为 是 “ 半 开 放 ” 扫 描 , 因 为 它 不 完成 一 次 完整 的 TCP 连接。 首先 扫描 程 
序 发 送 一 个 SYN 数据 包 , 假 装 要 打开 一 个 实际 的 连接 并 等 待 反应 。 如 果 返 回 Synlack 信息 
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:Ynmap -sT 282.119.281.74 


Starting Nnap 4-68 《< http://nnap-org 》 at 2888-987-16 19:56 中 国标 准时 间 


lot shown: 17?11 filtered ports 
STATE SERUICE 
nsrpc 
nethbios—ssn 
microsoft—ds 
Ha25/tcp open NFS-or-IIS 
IAC Address: BO:8C:29:6A:B5:0B CVUMware> 


Imap done: 1 IP address 《1 host up》 scanned in ?6.547 seconds 
图 5-1 nmap TCP Connect( ) 扫 描 


就 表示 端口 处 于 侦 听 状态 。 如 果 返 回 RST 则 表示 端口 没有 处 于 侦 听 态 。 假 如 收 到 一 个 
Synlack, 则 扫描 程序 就 发 送 一 个 RST 信和 号 来 关闭 这 个 连接 过 程 而 不 是 发 送 ACK 包 。 这 种 
扫描 技术 的 优点 在 于 一 般 不 会 在 目标 计算 机 上 留 下 记录 。 但 这 种 方法 的 一 个 缺点 是 ,必须 
要 有 管理 员 权 限 才能 建立 自己 的 SYN 数据 包 

TCP SYN 扫描 通常 称 为 * 半 开放 扫描 ”, 因 为 扫描 程序 不 需要 建立 一 个 完整 的 TCP 连 
接 。 扫 描 主 机 向 选 定 的 目标 主机 端口 发 送 一 个 ("我 可 以 连接 到 你 吗 ?”)SYN 数据 包 , 好 像 
准备 打开 一 个 实际 的 连接 并 等 待 回应 一 样 。 若 目标 主机 返回 SYN/ACK 数据 包 则 表示 目 
标 端 口 处 于 监听 状态 ; 而 车 返回 RST 数据 包 则 表示 该 端口 没有 开放 。 如 果 收 到 的 是 一 个 
SYN|ACK 数据 包 , 则 扫描 程序 必须 再 发 送 一 个 RST 信号 给 目标 主机 ,终止 建立 连接 。 因 
此 在 SYN 扫描 中 并 未 建立 全 连接 

TCP SYN 扫描 的 优点 是 一 般 不 会 在 目标 主机 上 留 下 记录 ,但 需要 有 管理 员 权 限 才能 
建立 自己 的 SYN 数据 包 

利用 nmap 的 -sS 选项 可 进行 TCP SYN 扫描 。 对 202. 119. 201. 74 进行 扫描 ,结果 如 
图 5-2 所 示 。 


:nmap -sS 282.119.201 .74 


starting Nnap 4.68 《< http://nnap.org 》 at 2868-97-16 16:23 中 国标 准时 间 
Interesting ports on cumt-bcB35edd4d ¢282.119.281.74>: 
lot shown: 1711 closed ports 
p SIATE SERVICE 
msrpe 
netbios-—ssn 
4 microsoft-ds 
he25/tcp open NI Is 
IAC Address: G0:8C:29:6A:B5:8B CUMware> 


Imap done: 1 IP address C1 host up> scanned in @.594 seconds 


图 5-2 ”TCP SYN 扫描 


3. TCP FIN 扫描 

有 时 使 用 SYN 扫描 都 不 能 保证 扫描 行为 不 被 发 现 。 一 些 防火 墙 和 包 过 滤器 会 对 一 些 
首 定 的 端口 进行 监视 ,有 的 程序 能 检测 到 这 些 扫 描 。 而 FIN 数据 包 可 能 会 没有 任何 麻烦 地 
通过 。 这 种 扫描 方法 的 思想 是 关闭 的 端口 会 用 适当 的 RST 来 回复 FIN 数据 包 。 另 一 方 
面 ,打开 的 端口 会 忽略 对 FIN oa 这 种 方法 和 系统 的 实现 有 一 定 的 关系 。 有 的 
系统 不 管 端口 是 耕 打开 ， 都 回复 RST, 这 样 这 种 扫描 方法 就 不 适用 了 。 并 且 这 种 方法 在 区 
分 UNIX 和 NT 时 十 分 有 用 。 
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TCP FIN 扫描 技术 不 包含 标准 的 TCP 三 次 握手 协议 的 任何 一 部 分 , 比 TCP SYN 扫描 
更 隐蔽 ,很 难 记录 踪迹 。TCP FIN 扫描 通过 向 目标 主机 发 送 包 含 FIN 标志 的 TCP 包 探 测 
端口 ,如 果 被 探测 的 目标 主机 的 端口 处 于 关闭 状态 , 则 目标 主机 返回 一 个 RST 信号 ; 如果 
目标 主机 的 端口 处 于 侦 听 状态 , 则 目标 主机 会 忽略 对 FIN 数据 包 的 回复 , 即 主机 不 会 返回 
RST 信号 。 通 过 是 否 返 回 RST 信号 ,可 以 判定 目标 主机 开放 了 哪些 端口 

利用 nmap 的 -sF 选项 可 进行 TCP FIN 扫描 。 对 202. 119. 201. 86(Red Hat Linux 9) 
进行 扫描 ,结果 如 图 5-3 所 示 。 


C:\>nmnap -sF 282.119.281 .7?6 


Starting Nnap 4.68 < http://nnap.org > at 2988-97-19 19:48 中 国标 
Interesting ports on jhf-cunt (282.119.281.76>: 
Not shovn: 1713 closed ports 


22vtcp openifiltered ssh 

Hii/tep openifiltered rpcbind 

MAC Address: G0:0C:29:B5:56:B9 CUMware> 

Nmap done: 1 IP address (1 host up》 scanned in 1.797 seconds 


5-3 利用 nmap 的 -SF 选项 可 进行 TCP FIN 扫描 


4. TCP Null 扫描 

TCP Null 扫描 和 TCP FIN 扫描 的 原理 相似 。TCP Null 扫描 将 发 送 的 探测 包 的 所 有 
标志 位 置 0, 如 果 被 探测 的 目标 主机 的 端口 处 于 关闭 状态 , 则 目标 主机 返回 一 个 RST 信和 号; 
如 果 目 标 主 机 的 端口 处 于 侦 听 状态 , 则 主机 不 会 返回 RST 信和 号。 通过 是 否 返 回 RST 信号， 
可 以 判定 目标 主机 开放 了 哪些 

利用 nmap 的 -sN 选项 可 进行 TCP Null 扫描 。 对 202. 119. 201. 86 进行 扫描 ,结果 如 
图 5-4 所 示 。 


:nmap -sN 282 .119 .291 .76 


starting Nnap 4.68 《< http://nmap.org ) at 2988-97-19 19:49 中 国标 准时 间 
Interesting ports on d5a3f86f26764b8 ©202.119.281.76>: 

lot shown: 1713 closed ports 

IPoRT 。 STRTE SERUICE 

jP2vtcp open!filtered ssh 


hii/tep open!filtered rpcbind 
IAC Address: G0:0C:29:B5:56:B9 CUMware> 


Imap done: 1 IP address 《1 host up》 scanned in 1.868 seconds 
图 5-4 利用 nmap 的 -sN 选项 可 进行 TCP Null 扫描 


5. TCP Xmas Tree 扫描 

TCP Xmas Tree 扫描 只 是 将 探测 包 标 志 位 中 的 FIN、PSH 与 URG 设置 为 1。 同 样 ,对 
于 TCP Xmas Tree 的 探测 报 文 , 如 果 端 口 开放 则 目标 主机 不 返回 RST 信号 , 若 端 口 关 闭 则 
返回 RST 信号。 

利用 nmap 的 -sX 选项 可 进行 TCP Xmas Tree 扫描 。 对 202. 119. 201. 86 进行 扫描 ,名 
果 如 图 5-5 所 示 。 

6. TCP Maimon 扫描 


sM Maimon 扫描 (TCP Maimon 扫描 ) 是 用 它 的 发 现 者 Uriel Maimon 命名 的 。 这 项 技 
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:nmap -sX 282.119.281 .76 


starting Nnap 4.68 < http://nnap.org 》 at 2888-97-19 19:58 中 国标 准时 间 
Interesting ports on c8cBBlb7bead4f9 ¢282.119.281.76): 

lot shown: 1713 closed ports 

lpPorT SIATE SERUICE 

22/tcp openifiltered ssh 

Hii/tcp openifiltered rpcbind 

IAC Address: G8:0C:29:B5:56:B9 CUMware) 


Imap done: 1 IP address (1 host up》 scanned jn 1.765 seconds 
图 5-5 利用 nmap 的 -sX 选项 可 进行 TCP Xmas Tree 扫描 
术 和 Null FIN 以 及 Xmas 扫描 完全 一 样 ,除了 探测 报 文中 设置 的 标志 位 是 FIN 与 ACK。 
根据 RFC 793(TCP)， 本 开放 或 者 关闭 ,都 应 该 对 这 样 的 探测 响应 RST 报 文 。 然 而 ， 
Uriel 注意 到 如 果 端 口 开放 ,许多 基于 BSD 的 系统 只 是 丢弃 该 探测 报 文 。 
利用 nmap 的 -sM 选项 可 进行 TCP Xmas Tree 扫描 。 对 202. 119. 201. 86 进行 扫描 , 结 
果 如 图 5-6 所 示 ,结果 显示 未 扫 出 端口 。 


xnmap -sM 282.119.281 .76 


Starting Nnap 4.68 < http://nnap.org > at 2998-97-19 19:55 中 国标 准时 间 
All 1715 scanned ports on jhf-cumt 《282.119.281.76> are closed 
IAC Address: @0:0C:29:B5:56:B9 CUMware> 


Inap done: 1 IP address (1 host up scanned in @.580 seconds 


5-6 利用 nmap 的 -sSM 选项 可 进行 TCP Xmas Tree 扫描 


7. TCP Fragmentation 


前 几 种 扫描 都 不 能 通过 防火 墙 ,因为 防火 墙 通常 只 允许 以 少数 几 个 端口 为 目的 端口 的 
TCP 报 通过 ,这 样 就 无 法 达到 一 次 扫描 多 台 主 机 的 目的 .但 通过 把 一 个 TCP 报 分 割 到 多 个 
IP 包 中 ,可 使 防火 墙 无 法 从 一 个 IP 包 中 找到 完整 的 TCP 报头 ,从 而 无 法 进行 过 滤 。 

8. UDP 扫描 

UDP 是 无 连接 的 协议 ,不 需要 建立 连接 过 程 ,但 这 个 协议 不 能 保证 数据 的 安全 到 达 。 

UDP ICMP 端口 不 能 到 达 扫 描 : 这 种 方法 与 上 面 几 种 方法 的 不 同 之 处 在 于 使 用 的 是 
UDP 协议 。 由 于 这 个 协议 很 简单 ,所 以 扫描 变 得 相对 比较 困难 。 这 是 由 于 打开 的 端口 对 扫描 
探测 并 不 发 送 确认 信息 ,关闭 的 端口 也 并 不 需要 发 送 一 个 错误 数据 包 。 幸 运 的 是 ,许多 主机 在 
用 户 向 一 个 未 打开 的 UDP 端口 发 送 数 据 包 时 ,会 返回 一 个 ICMP_PORT_UNREACH 的 错误 。 
这 样 用 户 就 能 发 现 那 个 端口 是 关闭 的 了 。UDP 和 ICMP 错误 都 不 保证 能 到 达 , 因 此 这 种 扫描 
方法 还 必须 实现 一 个 包 , 这 种 包 看 上 去 是 丢失 的 时 候 能 重新 传输 。 这 种 扫描 方法 速度 很 慢 , 因 
为 RFC 对 ICMP 错误 消息 的 产生 速率 做 了 规定 。 同 样 ,这 种 扫描 方法 需要 具有 root 权限 。 


5.5 扫描 工具 


现在 大 量 的 扫描 器 集成 了 主机 扫描 、 端 口 扫描 和 漏洞 扫描 的 功能 ,而 且 还 具有 攻击 功 
用 的 有 X-Scan、Fluxay 等 。 


114 计算 机 系统 安全 教程 


S.S.1 X-Scan 

X-Scan 是 国内 著名 网 络 安全 组 织 “ 安 全 焦点 ”开发 的 综合 扫描 工具 ,能 提供 漏洞 扫描 、 
漏洞 溢出 程序 报告 ,方便 管理 和 测试 网 络 , 下 面 以 X-Scan v3. 3 演示 这 款 工具 的 使 用 。 

图 5-7 是 流光 v3. 3, 首 先 对 其 参数 进行 设置 ,这 里 设置 扫描 的 IP 范围 为 202. 119. 201. 
65 一 202. 119. 201. 254。 


:了 X-Scan v3.3 GUI 
文件 吧 设置 吧 查看 &) 工具 他 ) 玫 助 也 ) 
JB|jPhuem| 国 | 国定 | 回 

普通 信息 | 漏洞 信息 | 错误 信息 | 


指定 IF 范围 : 
[202 119.201. 65-202. 119 201. 254 


地 让 铂 | 
图 5-7 流光 v3.3 
在 全 局 设置 模块 ,可 以 设置 要 扫描 的 选项 : 如 操作 系统 信息 、 弱 口令 IIS 漏洞 等 ,还 可 
以 设置 并 发 扫描 的 线程 的 数量 ,如 图 5-8 所 示 。 


玫 伯 各 客 2.0 
件 作者 : elacier 


图 5-8 扫描 参数 设置 
还 可 设置 扫描 插件 ,如 图 5-9 所 示 ,例如 用 户 可 以 自己 定义 字典 文件 ,增加 扫描 功能 。 


er FTP 密 色 字典 Ndat\weak pass. dic 
日 插件 设置 FTP 用 户 名 字典 Naat\Etp ser dic 

端口 相关 设置 INAP 密 码 字 典 \dat\weak pass. dic 目 

SHMP; IMAP 用 户 名 字典 Mdat\mail_user. dic 

至 TBIOS 相 关 设 置 NTP 密码 字典 \dat\weak_ pass. dic | 

漏洞 检 训 脚本 设置 DTP 用 户 名 字典 .Ndatvnntp_user. dic 

CGI 相关 设置 POP3 密 码 字 典 Ndat\weak pass dic 国 

字典 文件 设置 FOP3 用 户 名 字典 Ndat\mail_user. dic | 
C9 手册 \dat\weak pass. dic 


5-9 设置 扫描 插件 


对 刚才 设置 的 网 段 进 行 扫描 :如 图 5-10 所 示 。 

最 终 的 扫描 报告 ,将 以 Html 文件 的 形式 给 出 ,包含 了 主机 的 详细 扫描 信息 和 存在 的 安 
全 问题 ,如 图 5-11 所 示 。 
5.5.2 Fluxay 流光 


Fluxay 流光 不 但 集成 了 漏洞 扫描 、 弱 口令 扫描 ,而 且 还 附带 常用 的 入 侵 工具 ,图 5-12 为 
之 光 V5.0 破解 版 。 
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\ X-Scan v3- 了 CUT 
文件 如 设置 外 查看 CD) 


G@ me|@| | 


竺 四 
田 -119.201.73 58 2 
由 二 纪 89 23 0 
9 23 1 0 
申 于 3 4 4 1 
由 .94 4 4 1 
由 .5 3 3 0 
由 01. 96 3 3 0 
.119.201. 97 2 2 0 
202. 119.201. 98 3 3 0 正在 检测 "开放 服务 l 
图 项 | 图 


[202. 119. 201. 98] 测 - 开 部 | 隐 
[ene. 119 201.97] 


ER 
图 5-10 扫描 设置 的 网 段 进行 


ET RS 
主机 摘要 -OS: Unknown OS; PORT/TCP: 

切 辐 项 部 ] 

主机 地 址 端口 /服务 服务 漏洞 
202.119.201.78 netbios-ns (137/udp) | 发 现 安全 提示 
202.119,201.78 Ims-sql-m (1434/udp) | 发 现 安全 漏洞 
类 型 端口 /服务 安全 漏洞 及 解决 方案 

提示 netbios-ns (137/udp) 使 用 MetBIOS 探 测 Windows 主 机 信息 


| 如 果 NetBIOS 端 口 (UDP:137 已 经 打开 ， 

一 个 远程 攻击 者 可 以 利用 这 个 漏洞 获得 主机 
的 敏感 信息 ,比如 机 器 名 ,工作 组 /域名 ， 
当前 登陆 用 户 名 等 。 


图 5-11 最 终 的 扫描 报告 


ild 3308 (0 用 户 ) 


日 - 口 番 目标 主机 FLUXAY 5.0> 设 置 密 钥 .….OK, 长 度 : 64 Blts 
口 兄 pop3 主 机 
口 呈 Imap 主机 
口 全 Frp 主机 


口 Babe 


图 5-12 流光 V5.0 破解 版 
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使 用 流光 扫描 时 ,通常 要 把 扫描 的 线程 设置 为 中 等 (选择 “ 选 


先 项 ”系统 设置 "命令 ) , 若 
线程 过 高 ,可 能 会 出 现 错误 。 流 光 的 功能 比 X-Scan 的 功能 多 ,而 且 更 复杂 ,下 面 介绍 两 个 利 
用 流光 扫描 的 例子 。 


1. 利用 流光 扫描 IP 段 , 检 测 主 机 的 安全 状态 
选择 “文件 ”一 “高 级 扫描 向 导 ” 命 令 


命令 ,在 弹出 的 对 话 框 中 设置 “起 始 地 址 ”和 “结束 地 址 ”， 
选择 要 检测 的 项 目 , 如 图 5-13 所 示 。 


单 击 “ 下 一 步 " 按 钮 ,将 进入 一 系列 的 设置 ,如 “POP”、“Telnet”、“CGI” 扫 描 设 置 ,可 根 


需要 选择 或 改变 默认 扫描 值 ,具体 设置 过 程 不 再 叙述 。 最 后 一 步 是 设置 扫描 的 主机 ,在 此 
选择 “本 地 主机 ”, 流 光 支 持 “Sensor” 扫 描 , 如 图 5-14 所 示 


EE 


202. 119. 201.65 
4 | me 
| 
因 获取 主机 名 。 国 Tc 检查 主机 :PSE Tw | w of 
用 户 名 : | se 
un 
选项 
[EB 扫描 疗 节 ( 当 事 变 慢 ) 
[ 
svt-ww>| mh | Wy | sm 
图 5-13 流光 高 级 扫描 设置 


图 5-14 设置 扫描 的 主机 
单 击 “ 开 始 ” 按 钮 开始 扫描 ,扫描 结束 后 ,流光 会 把 扫描 的 结果 以 Html 的 形式 自动 打 
开 , 同 时 在 “流光 ” 主 界面 的 下 面 也 给 出 扫描 结果 。 图 5-15 中 扫描 到 主机 202. 119. 201. 78 
的 口令 为 空 。 


六 探测 结果 (10) 


PORT-> 主机 202.119 
PORT-> 主机 202.11 
PORT-> 主机 202.11 


图 5-15 扫描 结果 
2. 利用 流光 的 “Sensor 扫描 ” 


假设 扫描 出 了 主机 202. 119. 201. 78 存在 弱 口 令 , 单 击 扫描 到 的 主机 202. 119. 201. 78， 
在 弹出 的 快捷 菜单 中 选择 “安装 Fluxay Sensor” 命 令 , 如 图 5-16 所 示 。 

在 弹出 的 安装 设置 对 话 框 中 填写 要 安装 的 信息 ,如 图 5-17 所 示 。 系 统 账 号 使 用 的 是 刚 
刚 扫描 到 的 账号 “win2000s1”, 该 账号 必须 有 管理 员 权 限 , 安 装 后 的 服务 名 称 、 显 示 名 称 、 服 
务 描述 等 如 图 5-17 所 示 。 然 后 单 击 “ 安 装 ” 按 钮 ,将 会 在 主机 202. 119. 201. 78 上 安装 


“Fluxay Sensor”。 
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用 户 名 密码 [主机 
和 连接. .. 


安装 Fluxay Sensor 
安装 远程 Sni ffer 


| 


图 


图 5-16 存在 弱 口 令 的 主机 


主机 IP: oz.119.201.78 


系统 帐号 ，[wn2000s1 系统 密码 : | 


服务 名 称 : winfiuxay 


显示 名 称 : [winfluxay 


服务 描述 : 流光 控制 

控制 进程 : |Control 扫描 进程 : [5ensor 
注释; 

用 户 名 : |administrator 控制 密码 : Pe 


控制 端口 |8080 服务 端口 : [3080 口 系统 关 衬 性 服务 口 强制 绑 盖 文件 


启动 服务 winfluxay ,…， 
| 
图 5-17 流光 扫描 设置 
下 面 利 用 安装 了 “Fluxay Sensor” 服 务 的 主机 202. 119. 201. 78 进行 网 段 扫 描 。 选 择 
“探测 ”一 “高 级 扫描 设置 "命令 ,弹出 的 对 话 框 如 图 5-18 所 示 。 设 置 扫描 的 网 段 , 其 他 的 设 
置 与 4.1. 1 设置 相同 。 


高 级 扫描 设置 区 
TELNET | cor | cer Rues | sar [ 民 : .4 | rrs | FTMcER | 
RPC NISC | PLUGINS 1 选项 | 
设置 | Porrs | Po | Fr | sr | me | 
起 始 地 址 : |202. 119. 199. 65 
个 兰 束 地 址 : 02. 119. 199. 90 
目标 系统 : |ALL 可 
因 获取 主机 名 国 FING 和 检查 
[ES | 
回信 PORTS 
un 回合 ?or3 
加 Arr 
SW | | 回 和 sm 


图 5-18 “Fluxay Sensor” 服 务 扫描 网 段 202. 119. 201. 78 


在 最 后 一 步 “选择 流光 主机 ”时 ,从 下 拉 列 表 中 选择 主机 202. 119. 201. 78 ,然后 开始 扫 
描 , 如 图 5-19 所 示 。 

在 主机 202. 119. 201. 78 的 任务 管理 器 中 ,可 以 看 到 两 个 进程 Sensor. exe 与 control. 
exe, 如 图 5-20 所 示 ,分 别 是 流光 安装 在 202. 119. 201. 78 上 的 扫描 进程 和 控制 进程 。 


118 计算 机 系统 安全 教程 


pp 0:00:00 664 K 
选择 流光 主机 区 0:00:00 2,184 K 
0:00:0 5, 880 K 
py 0:00:00 1,224K 
: 了 : cs 二 
主机: [ZNTEETRA 端口 VwareService. e 1772 00 0:00:00 2 420K 
winmamt exe 1838 00 0:00: 02 264 K 
用 记名， omnestrator  ”” 窑 码 ， [rr* svehost. exe 1936 00 0:00:00 5,824 KK 
VilwareTray. exe 2068 00 0:00:00 1,952 K 
CTFNON. EXE 2076 00 0:00:00 1,908 K 
选项 VwareUser. exe 2092 00 0:00:00 2,092 EK 
i 局 Twister. exe 2104 00 0:00:02 17,572 K 
显示 扫描 细节 ( 当 5ensor 安 装 在 远程 服务 器 ,速度 会 变 慢 ) Apachellonitor. e 2112 00 0:00:00 1,532 K 
sqlnangr. exe 2120 00 0:00:00 3,796 K 
口 后 台 模 式 , 扫描 开始 后 无 需 客户 端 千 预 。 Filllsg exe 2132 O00 0:00: 00 4,388 K 
md exe 2136 00 0:00; 00 SoKk 
es wuauclt. exe 2408 00 0:00:00 4,578 K 
[meme | 85 | [了 mhO | Control., exe 2492 00 0:00:00 1,948 FE 
图 5-19 选择 扫描 主机 图 5-20 扫描 进程 和 控制 进程 


扫描 结果 可 以 看 到 主机 202. 119. 199. 87 开放 了 端口 80、23、3306、22、111 以 及 CGI 的 
扫描 结果 且 存 在 RPC 远程 溢出 漏洞 。 


5.6 扫描 器 的 实现 


不 管 是 基于 主机 的 安全 扫描 还 是 基于 网 络 的 安全 扫描 ,其 核心 逻辑 结构 主要 由 以 下 训 
分 组 成 。 

1. 策略 分 析 部 分 

策略 分 析 部 分 用 于 控制 网 络 安全 扫描 器 的 功能 , 即 它 应 当 检 测 哪些 主机 并 进行 哪些 检 
测 。 它 根据 系统 预先 设 定 的 配置 文件 决定 应 当 检 测 哪些 域内 的 主机 ,并 决定 对 测试 目标 主 
机 执行 的 测试 级 别 ( 简 单 .中 级 或 高 级 ) 。 

2. 获取 检测 工具 部 分 

对 于 给 定 的 目标 系统 ,获取 检测 工具 部 分 用 于 确定 对 其 进行 检测 的 工具 。 目 标 系 统 可 
以 是 一 个 主机 ,也 可 以 是 某 个 子 网 上 的 所 有 主机 ( 子 网 扫描 )。 目 标 系 统 可 以 由 用 户 指定 ,也 
可 以 由 分 析 推 断 部 分 根据 获取 数据 部 分 获得 的 结果 产生 。 一 旦 确定 了 目标 系统 ,获取 检测 
工具 部 分 就 可 以 根据 策略 分 析 部 分 得 出 的 测试 级 别 类 ,确定 需要 应 用 的 检测 工具 ,这 些 检测 
工具 正 是 获取 数据 部 分 的 输入 。 

3. 获取 数据 部 分 

对 于 给 定 的 检测 工具 ,获取 数据 部 分 运行 对 应 的 检测 过 程 ,收集 数据 信息 并 产生 新 的 事 
实 记 录 。 安 全 扫描 系统 能 在 检测 循环 中 记录 哪些 检测 是 已 经 执行 过 的 ,哪些 检测 是 还 未 执 
行 的 ,避免 重复 工作 。 最 后 获得 的 新 的 事实 记录 是 事实 分 析 部 分 的 输入 。 

4. 事实 分 析 部 分 

对 于 给 定 的 事实 记录 ,事实 分 析 部 分 能 产生 出 新 的 目标 系统 、 新 的 检测 工具 和 新 的 事实 
记录 。 该 部 分 又 分 为 几 个 事实 分 析 子 过 程 , 每 个 子 过 程 分 别 由 自己 的 基本 规则 集 控 制 , 同 时 
该 规则 集 又 在 子 过 程 的 分 析 中 不 断 更 新 。 新 生成 的 目标 系统 作为 获取 检测 工具 部 分 的 输 
入 ,新 生成 的 检测 工具 又 作为 获取 数据 部 分 的 输入 ,新 的 事实 记录 又 再 一 次 作为 事实 分 析 部 
分 的 输入 。 如 此 周而复始 ,直至 不 再 产生 新 的 事实 记录 为 止 。 
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5. 报告 分 析 部 分 

当 安全 扫描 系统 执行 完 网 络 安全 检测 之 后 ,会 获得 关于 目标 系统 的 大 量 信息 。 报 告 分 
析 部 分 则 将 有 用 的 信息 组 织 起 来 ,用 Html 格式 显示 ,使 用 户 可 以 通过 Web 浏览 器 方便 查 
看 运行 的 结果 。 

安全 扫描 系统 的 逻辑 结构 如 图 5-21 所 示 。 

配置 文件 

| 全 测 限制 
策略 分 析 部 分 


目标 系统 
1 检测 级 别 类 


获取 检测 工具 部 分 


新 的 目标 系统 
[— 新 的 检测 工具 
1 要 执行 的 检测 工具 

获取 数据 部 分 


上- 新 的 事实 记录 
| 浙 的 记录 事实 
事实 分 析 部 分 


9 信息 吗 ? 


N 


报告 分 析 部 分 
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习 题 5 


. 简单 分 析 系 统 的 安全 漏洞 。 

. 漏洞 的 分 类 标准 有 哪些 ? 

. 漏洞 库 主要 包括 哪些 信息 ? 

. 分 析 CVE 的 作用 。 

. Windows 的 端口 扫描 方法 主要 有 哪些 ? 

. 说 明 TCP Connect() 端 口 扫描 服务 器 端 与 客户 端 建立 连接 的 过 程 。 
. 简单 列举 几 个 常用 的 扫描 器 ,并 说 明 它 们 的 工作 原理 。 


下 性 


6.1 恶意 代码 


恶意 代码 也 称 为 恶意 软件 ,是 攻击 者 植 入 受害 者 系统 的 一 段 代码 ,使 得 攻击 者 可 以 在 受 
害 者 毫 不 知情 的 状况 下 控制 对 方 的 系统 、 网 络 以 及 数据 。 


6.1.1 病毒 


计算 机 病毒 是 一 组 能 够 进行 自我 传播 .需要 用 户 干预 来 触发 执行 的 破坏 性 程序 或 代码 。 
同时 ,它们 还 可 以 把 自己 的 副本 分 发 到 其 他 文件 .程序 或 电脑 中 去 。 当 被 感染 文件 执行 操作 
的 时 候 ( 例 如 : 打开 一 个 文件 ,运行 一 个 程序 ,点 击 邮件 的 附件 等 ) ,病毒 程序 会 进行 自我 
复制 。 

目前 ,世界 范围 内 已 发 现 的 计算 机 病毒 有 几 万 种 。 尽 管 这 些 病 毒 各 自传 染 的 方式 不 同 ， 
发 作 条 件 和 破坏 程度 不 同 , 但 都 具有 以 下 共同 特征 。 

1) 非 授权 可 执行 性 

计算 机 病毒 与 其 他 合法 的 程序 一 样 , 是 一 段 可 执行 程序 ,但 它 又 不 是 一 个 完整 的 程序 ， 
而 是 寄生 在 其 他 可 执行 文件 上 的 程序 ,因此 它 拥有 一 切 程序 所 能 得 到 的 权利 。 当 病毒 运行 
时 , 便 与 合法 程序 争夺 系统 的 控制 权 , 往 往 会 造成 系统 崩溃 ,导致 计算 机 瘫痪 。 计 算 机 病毒 
只 有 在 计算 机 内 得 以 运行 时 , 才 具 有 感染 性 和 破坏 性 。 

也 就 是 说 ,程序 对 计算 机 CPU 的 控制 权 是 关键 。 若 计算 机 在 正常 程序 控制 下 运行 ,而 
不 运行 带 病毒 的 程序 , 则 这 人 台 计 算 机 是 可 靠 的 ,在 这 人 台 计 算 机 上 可 以 查看 病毒 程序 文件 的 名 
字 、 源 代码 ,甚至 复制 病毒 , 却 不 会 感染 病毒 。 相 反 , 计 算 机 病毒 一 旦 在 计算 机 上 运行 ,就 会 
与 合法 程序 争夺 系统 的 控制 权 ,表现 出 病毒 症状 ,造成 系统 数据 丢失 或 系统 骨 溃 等 。 

2) 感染 性 

计算 机 病毒 能 够 将 自身 的 复制 品 或 变种 感染 到 其 他 程序 中 。 这 是 计算 机 病毒 的 根本 特 
点 , 它 使 得 计算 机 病毒 得 以 从 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 中 。 计 算 机 一 旦 感 
染病 毒 ,如 果 不 及 时 处 理 , 那 么 病毒 会 在 这 台 计 算 机 上 迅速 扩散 ,其 中 大 量 的 文件 (主要 是 可 
执行 文件 ) 会 被 感染 。 而 被 感染 的 计算 机 文件 又 成 了 新 的 感染 源 , 可 通过 各 种 可 能 的 渠道 ， 
如 软盘 、U 盘 和 计算 机 网 络 等 去 感染 其 他 的 计算 机 。 

3) 寄生 性 

计算 机 病毒 程序 是 戏 人 到 宿主 程序 的 ,依赖 宿主 程序 的 存在 而 生存 :病毒 程序 侵入 到 宿 
主 程序 以 后 ,一 般 对 宿主 程序 进行 一 定 的 修改 . 当 病 毒 激活 条 件 一 旦 满足 ,病毒 程序 就 被 激 
活 , 从 而 可 以 进行 自我 复制 。 
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4) 隐蔽 性 

计算 机 病毒 一 般 都 是 具有 很 高 编程 技巧 的 程序 员 编 写 的 短小 精 悍 的 程序 ,通常 附着 在 
正常 程序 中 或 磁盘 较 隐 项 的 地 方 : 也 有 个 别 的 以 隐 含 文件 形式 出 现 , 目 的 是 不 让 用 户 发 现 它 
的 存在 。 如 果 不 经 过 代码 分 析 ,病毒 程序 与 正常 程序 是 不 容易 区 分 开 来 的 。 而 且 受 到 感染 
后 ,计算 机 系统 通常 仍 能 正常 运行 ,使 用 户 不 会 感到 异常 。 

计算 机 病毒 的 隐蔽 性 表现 在 两 个 方面 : 一 是 传染 过 程 隐蔽 ,大 部 分 病毒 传染 速度 快 , 传 
染 时 不 具有 外 表 表 现 , 不 易 被 人 发 觉 ; 二 是 病毒 程序 隐蔽 ,一 般 病 毒 程 序 戏 入 在 正常 程序 
中 ,很 难 被 发 现 。 病 毒 一 般 只 有 几 百 或 几 千 字 节 ,而 现在 普通 PC 的 存 取 速度 都 是 以 MB/s 
为 单位 ,所 以 病毒 在 瞬间 就 可 以 将 其 程序 附着 在 正常 程序 中 ,使 其 不 容易 被 察觉 。 

5) 潜伏 性 

大 部 分 病毒 在 感染 系统 后 ,一 般 不 会 马上 发 作 , 它 可 长 期 隐藏 在 系统 中 。 除 了 传染 外 ， 
不 表现 出 破坏 性 ,只 有 在 满足 其 特定 条 件 才 启动 其 表现 破坏 性 的 模块 ,显示 发 作 信息 或 进行 
系统 破坏 ,只 有 这 样 它 才 可 以 进行 广泛 地 传播 。 

6) 可 触发 性 

计算 机 病毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 。 满 足 其 触发 条 件 或 者 激活 病毒 的 传染 机 
制 ,使 之 进行 传染 ; 或 者 激活 病毒 的 表现 部 分 或 破坏 部 分 。 触 发 的 实质 是 一 种 条 件 的 控制 ， 
病毒 程序 可 以 依据 设计 者 的 要 求 , 在 一 定 条 件 下 实施 攻击 。 使 计算 机 病毒 发 作 的 触发 条 件 
通常 有 以 下 几 种 : 利用 系统 时 钟 提供 的 时 间作 为 触发 器 ,这 种 触发 机 制 被 大 量 的 病毒 使 用 ; 
利用 病毒 体 自 带 的 计数 器 作为 触发 器 ; 利用 计算 机 内 执行 的 某 些 特定 操作 作为 触发 器 。 

7) 破坏 性 

无 论 何 种 病毒 程序 一 旦 侵入 系统 都 会 对 操作 系统 的 运行 造成 不 同 程度 的 影响 。 即 使 不 
直接 产生 破坏 作用 的 病毒 程序 也 要 占用 系统 资源 (如 占用 内 存 空 间 , 占 用 磁盘 存储 空间 以 及 
系统 运行 时 间 等 )。 根 据 这 些 特点 ,可 以 将 病毒 分 为 良性 病毒 和 恶性 病毒 : 良性 病毒 程序 可 
能 显示 一 些 文字 或 图 像 .播放 音乐 等 ,没有 太 大 的 破坏 作用 。 而 恶性 病毒 将 影响 系统 的 正常 
运行 ,这 些 病 毒 程序 删除 文件 ,加 密 磁 盘 中 的 数据 ,甚至 摧毁 整个 系统 和 数据 ,使 之 无 法 恢 
复 ,造成 无 可 挽回 的 损失 。 

8) 主动 攻击 性 

病毒 对 系统 攻击 是 主动 的 。 从 一 定 程度 上 讲 , 计 算 机 系统 很 难 彻底 地 排除 病毒 对 系统 
的 攻击 ,而 保护 措施 充其量 是 一 种 防御 的 手段 。 


6.1.2 蠕虫 


蠕虫 是 一 种 能 在 不 需要 用 户 干 预 的 情况 下 即 可 触发 .并 自动 传染 计算 机 的 破坏 性 程序 
或 代码 。 蠕 虫 不 修改 文件 ,而 是 常 驻 在 内 存 里 并 复制 自己 。 蠕 虫 使 用 操作 系统 的 一 部 分 ,这 
部 分 对 于 用 户 来 说 是 自动 且 无 形 的 。 通 常 只 有 在 它 的 无 法 控制 的 疯狂 复制 占用 了 系统 资 
源 ,使 得 其 他 的 任务 缓慢 甚至 停滞 的 情况 下 才 会 发 现 它们 。 蠕 虫 的 自我 复制 不 像 其 他 的 病 
毒 , 它 可 以 自动 创建 与 它 的 功能 完全 相同 的 副本 ,并 在 没 人 干涉 的 情况 下 自动 运行 。 蠕 虫 是 
通过 系统 存在 的 漏洞 和 系统 设置 的 不 安全 性 (例如 : 设置 共享 ) 来 进行 人 侵 的 。 它 的 自身 特 
性 可 以 使 它 以 很 快 的 速度 传输 (在 几 秒 钟 内 从 地 球 的 一 端 传送 到 另 一 端 ) 。 

计算 机 病毒 和 蠕虫 有 很 多 的 相似 之 处 ,例如 都 可 进行 自我 复制 ,感染 破坏 系统 。 但 它们 
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之 间 有 很 大 的 区 别 。 

(1) 蠕虫 是 一 个 可 以 独立 运行 的 程序 。 但 病毒 不 能 独立 存在 ,必须 将 自身 的 代码 附着 
在 其 他 程序 中 ,其 程序 的 激活 依赖 于 宿主 程序 的 执行 。 

(2) 蠕虫 可 以 自动 通过 传播 ,不 需要 利用 文件 寄生 技术 ; 而 病毒 要 依赖 于 宿主 文件 进 
行 传播 。 因 为 蠕虫 程序 自身 包含 了 传播 代码 ,这 些 代码 会 自动 将 蠕虫 程序 从 一 个 系统 发 送 
到 另 一 个 系统 。 例 如 ,蠕虫 可 以 自动 将 自己 包含 在 邮件 附件 中 发 送 给 其 他 用 户 ; 而 病毒 必 
须 是 用 户 将 感染 病毒 的 文件 作为 附件 发 送 时 ,才能 感染 新 的 系统 。 

(3) 蠕虫 通常 感染 的 对 象 是 有 相应 漏洞 或 者 其 他 脆弱 性 的 计算 机 系统 ,而 病毒 的 感染 
对 象 则 是 计算 机 中 的 文件 系统 。 

表 6-1 是 计算 机 病毒 与 蠕虫 之 间 的 区 别 。 


表 6-1 蠕虫 与 病毒 的 区 别 


名 称 计算 机 病毒 蠕 虫 
存在 形式 寄生 于 其 他 程序 独立 程序 

感染 目标 本 地 文件 网 络 中 的 计算 机 

传播 途径 感染 文件 或 可 移动 磁盘 网 络 传播 


不 需要 人 为 干预 ,蠕虫 会 利用 系统 漏洞 或 系 
统 脆弱 性 .电子 邮件 等 将 自身 副本 发 送 到 其 
他 系统 


需要 人 为 干预 ,例如 ,运行 感染 病毒 的 


传播 形式 | 程序 ,使 用 感染 病毒 的 磁盘 


6.1.3 木马 


特洛伊 木马 从 表面 上 看 是 正常 的 程序 .具有 正常 的 功能 ,但 是 实际 上 却 隐 藏 着 带 有 恶意 
目的 的 程序 。 一 些 木马 程序 会 通过 覆盖 系统 中 已 经 存在 的 文件 的 方式 存在 于 系统 之 中 , 同 
时 它 可 以 携带 恶意 代码 ,还 有 一 些 木 马 会 以 一 个 软件 的 身份 出 现 ( 例 如 : 一 个 可 供 下载 的 游 
戏 ) ,但 它 实 际 上 是 一 个 窃取 密码 的 工具 。 这 种 木马 程序 通常 不 容易 被 发 现 ,因为 它 一 般 是 
以 一 个 正常 的 应 用 的 身份 在 系统 中 运行 的 。 

特洛伊 木马 通常 由 一 个 客户 端 和 一 个 服务 器 端 构 成 ,客户 端 放 在 木马 控制 者 的 电脑 中 ， 
服务 器 端 放 置 在 被 入侵 电脑 中 ,木马 控制 者 通过 客户 端 与 被 人 侵 电脑 的 服务 器 端 建立 远程 
连接 。 一 旦 连接 建立 ,木马 控制 者 就 可 以 通过 对 被 入侵 电脑 发 送 指令 来 传输 和 修改 文件 。 
还 有 一 些 木马 不 具备 远程 登录 的 功能 。 它 们 的 存在 只 是 为 了 隐藏 恶意 进程 的 痕迹 ,例如 使 
恶意 进程 不 在 计算 机 的 进程 列表 中 显示 出 来 。 还 有 一 些 木马 用 于 收集 信息 ,例如 被 感染 电 
脑 的 密码 ,并 把 收集 到 的 密码 列表 发 送 互联 网 中 一 个 指定 的 邮件 账户 中 。 常 见 的 木马 有 冰 
河 、 网 络 神偷 、 灰 锅子 。 

常见 的 木马 可 以 分 为 以 下 几 类 。 

1) 远程 访问 型 

这 是 目前 使 用 最 广 的 特洛伊 木马 。 这 类 木马 可 以 远程 访问 被 攻击 者 的 硬盘。 

远程 访问 型 特洛伊 木马 会 在 目标 计算 机 上 打开 一 个 端口 。 一 些 特洛伊 木马 还 可 以 改变 
端口 的 选 型 并 且 可 以 设置 连接 密码 ,为 的 是 只 能 让 攻击 者 来 控制 特洛伊 木马 。 改 变 端 口 的 
选 型 是 非常 必要 的 ,因为 一 些 常见 木马 的 监听 端口 已 经 为 广大 用 户 熟 知 了 。 新 的 远程 访问 
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型 特洛伊 木马 每 天 都 在 出 现 。 

2) 密码 发 送 型 

这 种 特洛伊 木马 的 目的 是 找到 所 有 的 隐藏 密码 ,并 且 在 被 攻击 者 不 知道 的 情况 下 把 它 
们 发 送 到 指定 的 信箱 。 这 类 特洛伊 木马 大 多 数 会 在 每 次 Windows 重新 启动 的 时 候 运 行 ,而 
且 它 们 大 多 使 用 25 号 端口 发 送 E-mail。 

3) 键盘 记录 型 

这 种 特洛伊 木马 非常 简单 : 它们 只 做 一 种 事情 ,就 是 记录 受害 者 的 键盘 输入 并 且 在 log 
日 志文 件 中 查找 密码 。 这 种 特洛伊 木马 随 着 Windows 系统 的 启动 而 运行 。 它 们 有 记录 在 
线 和 离线 的 功能 。 在 线 选 项 中 ,它们 知道 被 攻击 者 在 线 并 且 记 录 每 一 件 事 情 。 但 是 ,在 离线 
记录 时 ,每 一 件 事情 在 Windows 启动 后 才 被 记录 ,并 且 保 存在 受害 者 磁盘 上 等 待 被 传输 。 

4) 毁坏 型 

这 种 特洛伊 木马 的 唯一 功能 是 毁坏 并 且 删 除 文件 。 它 们 非常 简单 ,也 很 容易 被 发 现 。 
它 能 自动 删除 目标 计算 机 的 所 有 后 缀 名 如 dll、ini、exe 等 文件 ,所 以 非常 危险 ,一 旦 被 感染 
了 ,就 会 严重 威胁 到 计算 机 的 安全 。 

5) FTP 型 

这 类 特洛伊 木马 程序 打开 目标 计算 机 的 21 号 端口 ,使 黑客 可 以 用 一 个 FTP 客户 端 并 
且 不 用 密码 就 可 以 连接 到 目标 计算 机 上 ,并 且 拥 有 完全 的 上 传 和 下 载 的 权限 。 


6.1.4 后 门 


后 门 通 常 指 房间 后 面 的 可 以 自由 出 入 的 门 ,是 相对 于 明显 的 前 门 而 言 的 。 对 计算 机 操 
作 系 统 或 软件 来 说 ,是 指 可 以 绕 过 软件 的 安全 性 控制 而 从 比较 隐秘 的 通道 获取 对 程序 或 系 
统 访问 权 的 黑客 方法 。 通 常 , 在 软件 开发 时 ,设置 后 门 可 以 方便 修改 和 测试 程序 中 的 缺陷 。 
但 如 果 后 门 被 其 他 人 知道 (可 以 是 泄密 或 者 被 探测 到 后 门 ) ,或 是 在 发 布 软件 之 前 没有 去 除 
后 门 ,那么 它 就 对 计算 机 系统 安全 造成 了 威胁 。 

后 门 具有 隐蔽 性 ,能 绕 开 系统 日 志 ,不 易 被 系统 管理 员 发 现 等 特点 。 

在 计算 机 中 ,和 人 侵 者 可 以 通过 端口 . 串 / 并 口 .无 线 设 备 连接 等 后 门 方式 进行 人 侵 。 如 果 
一 个 程序 仅仅 提供 远程 访问 ,那么 它 只 是 一 个 后 门 。 如 果 攻 击 者 将 这 些 后 门 伪装 成 某 些 其 
他 良性 程序 ,那么 就 变 成 了 特洛伊 木马 。 

后 门 产生 的 必要 条 件 有 以 下 三 点 : 

(1) 必须 以 某 种 方式 与 其 他 终端 节点 相连 。 由 于 后 门 的 利用 都 是 从 其 他 节点 进行 访 
问 ,因此 必须 与 目标 机 使 用 双 绞 线 、 光 纤维 、 串 /并 口 .蓝牙 .红外 等 设备 在 物理 信号 上 有 所 连 
接 才 可 以 对 端口 进行 访问 。 只 有 访问 成 功 , 双 方才 可 以 进行 信号 交流 ,攻击 方才 有 机 会 进行 
入 侵 。 

(2) 目标 机 默认 开放 的 可 供 外 界 访问 的 端口 必须 在 一 个 以 上 。 因 为 一 台 默 认 无 任何 端 
口 开放 的 机 器 是 无 法 连接 通信 的 :而 如 果 开 放 着 的 端口 外 界 无 法 访问 , 则 同样 没有 办 法 进行 
人 入侵 。 

(3) 目标 机 存在 程序 设计 或 人 为 踊 忽 ,导致 攻击 者 能 以 权限 较 高 的 身份 执行 程序 。 并 
不 是 任何 一 个 权限 的 账号 都 能 够 被 利用 .只 有 权限 达到 操作 系统 一 定 要 求 的 才 允 许 执行 修 
改 注 册 表 ,修改 log 记录 等 相关 修改 。 
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通常 后 门 产生 的 原因 有 以 下 几 种 。 

(1) 操作 系统 自 带 的 服务 ,大 多 数 的 操作 系统 ,如 UNIX、Linux、Windows 2000/XP 在 
默认 安装 完成 后 ,为 了 方便 用 户 的 使 用 ,会 默认 开启 一 定数 量 的 服务 (server), 常 见 的 有 
telnet server、ssh server、sendmail 等 ,如 果 有 的 服务 程序 版 本 存在 漏洞 或 者 默认 配置 的 安 
全 性 不 够 , 则 很 容易 被 攻击 .从 而 成 为 攻击 者 进入 的 通道 。 

(2) 早期 网 络 协议 安全 性 问题 。 由 于 早期 互联 网 络 是 用 于 军 方 ,高校 及 科研 结构 ,网 络 
协议 的 设计 对 安全 性 方面 考虑 较 少 。 例 如 ,目前 所 使 用 的 IPv4 协议 ,IP 数据 包 的 源 地 址 可 
以 被 修改 、MAC 地 址 可 以 被 伪造 。 

以 NetBIOS 为 例 : NetBIOS 主要 是 用 来 在 网 络 上 鉴别 资源 的 ,程序 使 用 这 些 名 称 开 始 
和 结束 会 话 。 这 个 协议 的 特点 是 简单 高 效 , 缺 点 则 是 不 验证 对 方 身份 就 可 以 获得 信息 。 因 
此 对 于 安全 验证 方面 相对 薄弱 ,许多 病毒 都 是 通过 共享 途径 传播 的 ,例如 爱情 后 门 、 欢 乐 时 
光 等 。 一 旦 机 器 感染 病毒 ,就 可 能 为 攻击 者 留 下 后 门 。 

(3) 软件 编写 不 规范 。 现 在 很 多 大 型 软件 都 是 模块 化 编程 ,可 能 某 些 功 能 模块 之 间 出 
现 漏洞 ,被 攻击 者 利用 作为 漏洞 ; 也 有 可 能 是 程序 员 作 为 程序 测试 用 的 通道 没有 去 除 , 被 攻 


6.2 网 络 咀 探 


网 络 监 听 也 称 为 网 络 嗅 探 , 是 一 种 发 展 比较 成 熟 的 技术 ,通常 网 络 管理 员 可 以 利用 网 络 
监听 工具 监测 网 络 状态 .排除 网 络 故障 。 然 而 ,网 络 监听 也 给 以 太 网 带 来 了 巨大 的 安全 隐 
患 ,网络 监听 工具 成 了 黑客 的 常用 工具 ,黑客 通过 将 网 络 接口 设置 成 监听 模式 , 便 可 截取 以 
太 网 中 的 信息 ,造成 用 户口 令 失 窃 、 敏 感 数据 汇 漏 等 。 

网 络 监 听 可 以 在 网 上 的 任何 一 个 位 置 , 如 局 域 网 中 的 一 台 主 机 、 网 关 或 远程 网 中 的 调制 
解 调 器 等 。 监 听 效 果 好 的 是 在 网 关 、 路 由 器 ,防火墙 一 类 的 设备 上 ,通常 由 网 络 管理 员 来 操 
作 。 黑 客 用 的 最 多 的 是 用 网 络 监 听 来 截取 用 户口 令 。 


6.2.1 共享 式 以 太 网 监听 


当局 域 网 内 的 主机 是 通过 集线器 (HUB) 等 方式 连接 时 ,一般 采取 的 是 共享 的 连接 。 这 
种 共享 方式 连接 的 特点 是 , 源 主 机 的 网 络 接口 卡 将 要 发 送 的 数据 报 添加 目的 MAC 地 址 、 源 
MAC 地 址 等 信息 封装 成 帧 ,然后 将 帧 以 广播 的 方式 发 往 局 域 网 。 当 一 台 主 机 向 另 一 台 主 
机 发 送 数据 时 ,共享 式 的 HUB 会 将 接收 到 的 数据 向 HUB 上 的 每 个 端口 转发 。 所 以 ,从 理 
论 上 说 , 当 采 用 共享 式 连接 时 ,位 于 同一 网 段 的 每 台 主 机 都 可 以 截获 在 网 络 中 传输 的 所 有 
数据 。 

通常 情况 下 只 有 与 数据 帧 中 目的 MAC 地 址 一 致 的 主机 才 会 接收 数据 ,并 对 其 进行 处 
理 。 网 卡 对 于 不 属于 自己 的 报 文 不 予以 响应 ,只 是 简单 的 忽略 掉 这 些 数 据 。 但 是 ,如 果 某 台 
主机 将 其 网 卡 设置 为 混杂 模式 ,使 其 工作 在 监听 模式 下 , 则 不 管 数据 帧 中 的 目标 地 址 是 什 
么 ,主机 都 可 以 将 其 捕获 。 

那么 ,当主 机 工作 在 监听 模式 下 ,将 接收 到 的 所 有 数据 帧 交 给 上 层 协议 软件 处 理 。 而 
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且 , 当 连接 在 同一 条 电缆 或 集线器 上 的 主机 被 逻辑 地 分 为 几 个 子 网 时 , 如果 一 台 主 机 处 于 
监听 模式 下 , 它 还 能 接收 到 发 向 与 自己 不 在 同一 子 网 (使 用 了 不 同 的 掩 码 、IP 地 址 和 网 关 ) 
的 主机 的 数据 包 。 也 就 是 说 ,在 同一 条 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 男 外 ， 
现在 网 络 中 使 用 的 大 部 分 协议 都 是 很 早 设计 的 ,许多 协议 的 实现 都 是 基于 一 种 非常 友好 的 、 
通信 的 双方 充分 信任 的 基础 之 上 , 许多 信息 以 明文 发 送 。 因 此 ,如 果 用 户 的 账户 名 和 口令 
等 信息 也 以 明文 的 方式 在 网 上 传输 ,而 此 时 一 个 黑客 或 网 络 攻击 者 正在 进行 网 络 监听 ,只 要 
有 具 有 初步 的 网 络 和 TCP/IP 协议 知识 , 便 能 轻易 地 从 监听 到 的 信息 中 提取 出 感 兴 趣 的 部 分 。 
同 理 , 正 确 的 使 用 网 络 监听 技术 也 可 以 发 现 人 侵 并 对 入 侵 者 进行 追踪 定位 ,在 对 网 络 犯罪 进 
行 侦查 取证 时 获取 有 关 犯 罪行 为 的 重要 信息 ,成 为 打击 网 络 犯罪 的 有 力 手 段 。 


6.2.2 交换 式 以 太 网 监听 


随 着 以 太 网 交换 机 的 普及 ,现在 大 部 分 的 局 域 网 是 交换 式 以 太 网。 以 太 网 交换 机 的 原 
理 很 简单 , 它 检 测 从 以 太 网 主机 传送 到 端口 来 的 数据 包 的 源 主机 和 目的 主机 的 MAC( 介 质 
访问 层 ) 地 址 ,然后 青 与 系统 内 部 的 动态 查找 表 进 行 比较 ,发 往 目的 主机 对 应 的 交换 机 端口 ; 
车 数据 包 的 MAC 地 址 不 在 查找 表 中 , 则 将 该 地 址 加 入 查找 表 中 ,并 将 数据 包 发 送 给 相应 的 
目的 端口 。 

由 于 交换 式 以 太 网 的 交换 机 能 够 将 数据 报 文 准确 地 发 送 给 数据 报 文 的 目的 主机 ,而 不 
会 同时 发 给 其 他 的 计算 机 。 因 此 ,在 交换 网 络 的 环境 下 .实现 数据 包 的 监听 要 复杂 一 些 。 

目前 ,实现 交换 式 以 太 网 的 数据 包 监 听 的 方法 主要 有 以 下 几 种 。 

(1) 对 交换 机 实行 端口 映射 ,将 该 端口 的 数据 包 全 部 映射 到 某 个 监控 机 器 上 。 

(2) 将 数据 包 捕 获 程 序 放 在 网 关 或 代理 服务 器 上 ,这 样 就 能 抓 取 到 整个 局 域 网 的 数 
据 包 。 

(3) 在 交换 机 和 路 由 器 之 间 连 接 一 个 HUB, 这 样 数据 将 以 广播 的 方式 发 送 。 

(4) 实行 ARP( 地 址 解析 协议 ) 欺 骗 , 即 在 用 户 机 器 上 实现 整个 包 的 转发 ,但 这 样 会 降 
低 整个 局 域 网 的 效率 。 

下 面 以 ARP 欺骗 为 例子 ,分 析 交 换 环 境 下 的 网 络 监听 的 原理 。 

ARP 协议 的 全 称 是 地 址 解析 协议 ,ARP 协议 的 功能 是 把 逻辑 地 址 转换 为 物理 地 址 , 即 
将 32 位 的 IP 地 址 转换 成 48 位 的 物理 地 址 (网 卡 的 MAC 地 址 )。 例 如 ,一 台 IP 地 址 为 
192. 168. 0.1 的 计算 机 ,其 网 卡 的 MAC 地 址 为 00-03-0F-FD-1D-2B。 转 换 过 程 是 一 台 主 机 
向 局 域 网 广播 包含 目标 IP 地 址 的 数据 包 , 即 ARP 请 求 ,然后 目标 主 机 向 赎 生 和 机关 是 三 不 洛 
有 其 IP 地 址 和 MAC 地 址 的 数据 包 , 即 ARP 应 答 。 

当 一 个 网 络 设备 需要 和 另 一 个 网 络 设备 通信 时 , 它 首先 把 目标 设备 的 IP 地 址 与 自己 的 
子 网 掩 码 进行 “与 ?操作 ,以 判断 目标 设备 与 自己 是 否 位 于 同一 网 段 。 如 果 在 同一 个 网 段 ,而 
且 源 设备 没有 在 高 速 缓存 中 获得 与 目标 IP 地 址 相对 应 的 MAC 地 址 信息 , 则 源 设 备 以 广播 
的 形式 发 送 ARP 请 求 报 文 ,在 ARP 请 求 报 文 中 包含 了 源 设 备 与 目标 设备 的 IP 地 址 。 
ARP 报 文 以 广播 的 形式 在 网 络 中 发 送 , 因 此 同一 网 段 中 的 所 有 其 他 设备 都 可 以 收 到 并 分 析 
这 个 ARP 请 求 报 文 。 若 某 设备 接收 到 ARP 报 文 并 发 现 报 文中 的 目标 IP 地 址 与 自己 的 IP 
地 址 相同 , 则 向 源 设备 发 回 ARP 响应 报 文 ,通过 该 报 文 使 源 设备 获得 目标 设备 的 MAC 地 
址 信息 。 如 果 目 标 设备 与 源 设备 不 在 同一 个 网 段 , 则 源 设备 首先 将 IP 分 组 发 向 自己 的 默认 
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网 关 , 由 默认 网 关 对 该 分 组 进行 转发 。 若 源 设 备 的 缓存 中 没有 默认 网 关 的 MAC 地 址 , 则 它 
将 同样 以 发 ARP 广播 包 的 方式 来 获取 网 关 的 MAC 地 址 。 

也 就 是 说 无 论 与 源 设备 通信 的 目标 设备 是 否 在 同一 个 网 段 ,数据 包 在 局 域 网 中 都 要 和 
另 一 台 设 备 直接 通信 。 而 在 以 太 网 中 ,一 个 网 络 设备 要 和 男 一 个 网 络 设备 进行 直接 通信 , 需 
要 知道 目标 设备 的 MAC 地 址 。 

在 以 太 网 里 ,为 了 减少 广播 量 , 且 避 免 频 繁 发 送 ARP 请 求 包 进行 地 址 转换 ,每 台 主 机 
都 有 一 个 ARP 高 速 缓存 ,其 中 记录 了 最 近 一 段 时 间 内 与 其 通信 的 设备 的 IP 地 址 和 MAC 
地 址 的 映射 信息 。 如 果 本 机 想 与 某 台 主机 通信 , 则 首先 在 ARP 缓存 中 查找 这 台 主 机 的 IP 
和 MAC 信息 , 若 存 在 , 则 直接 利用 此 MAC 地 址 构造 以 太 网 数据 帧 ; 若 不 存在 , 则 向 网 络 上 
广播 一 个 ARP 请 求 包 。 目的 主机 收 到 此 请 求 包 后 .发 送 一 个 ARP 应 答 包 。 本 机 收 到 此 应 
答 包 后 ,把 相关 信息 记录 在 ARP 高 速 缓存 中 ,然后 再 进行 发 送 。 

然而 ,对 大 多 数 操作 系统 而 言 , 如 果 收 到 一 个 ARP 应 答 ,它们 不 管 自己 是 否 在 此 之 前 
曾 发 出 ARP 请 求 报 文 ,都 会 自动 更 新 自己 的 ARP 缓存 ,而 不 对 ARP 应 答 的 真实 性 进行 验 
证 ,因此 ARP 是 一 个 无 状态 的 协议 ,ARP 欺骗 就 是 利用 这 一 点 进行 欺骗 。 

ARP 欺骗 的 核心 思想 就 是 向 目标 主机 发 送 伪造 的 IP-MAC 映射 的 ARP 响应 ,使 目标 
主机 收 到 伪造 的 ARP 应 答 后 更 新 其 ARP 缓存 ,从 而 使 目标 主机 将 数据 包 发 送 给 指定 的 
主机 。 

假如 同一 交换 网 络 中 的 三 台 主 机 A、B、C, 主 机 C 试图 通过 ARP 欺骗 截取 主机 A 发 送 
给 主机 B 的 数据 报 文 ,达到 监听 A、B 通信 的 目的 。 

欺骗 过 程 步骤 为 : 

(1) 主机 C 发 送 ARP 请 求 报 文 ,分 别 获取 主机 A 和 B 的 MAC 地 址 。 

(2) 主机 C 向 主机 A 发 送 伪造 的 ARP 应 答 报 文 ( 报 文 的 源 IP 地 址 为 B 的 IP 地 址 , 源 
MAC 地 址 为 C 的 MAC 地 址 )。 

(3) 主机 A 收 到 ARP 应 答 报 文 ,根据 C 发 送 的 伪造 的 ARP 应 答 报 文 ,更 新 ARP 缓冲 
区 ,此 时 有 一 条 IP-MAC 对 应 关系 : 主机 B 的 IP 地 址 一 主机 C 的 MAC 地址。 

那么 当主 机 A 的 应 用 程序 向 主机 B 发 送 数 据 时 ,在 网 络 层 形成 包含 主机 B 的 IP 信息 
的 IP 数据 包 ; 而 在 数据 链 路 层 将 主机 C 的 MAC 地 址 信息 加 在 IP 数据 包 前 ,构成 以 太 网 数 
据 帧 ,发 往 交 换 机 的 端口 。 交 换 机 查找 其 主机 MAC 地 址 与 端口 的 对 应 关系 ,将 数据 帧 发 往 
主机 C 对 应 的 端口 。 

(4) 主机 C 将 接收 的 主机 A 发 往 主机 B 的 数据 帧 去 掉头 部 ,加 上 主机 B 的 MAC 地 址 
信息 ,发 往 交 换 机 端口 。 交 换 机 根据 端口 与 MAC 对 应 关系 ,将 数据 发 往 主 机 B 对 应 的 
端口 。 

这 样 ,主机 C 成 功 的 截获 主机 A 发 往 B 的 信息 ,而 A 与 B 并 未 发 觉 通信 有 任何 异常 。 
同样 主机 C 也 可 以 欺骗 主机 B. 截 获 B 发 往 A 的 数据 。 这 样 主机 C 就 可 以 监听 A 与 B 之 
间 的 所 有 通信 。 这 种 攻击 通常 也 称 为 中 间 人 攻击 。 

为 了 保证 伪造 的 IP-MAC 映射 关系 在 主机 A 缓冲 区 中 的 有 效 性 ,主机 C 每 隔 一 个 时 间 
片 发 送 一 次 ARP 应 答 报 文 , 保 证 主机 A 处 于 被 欺骗 状态 。 

同样 ,主机 C 也 可 以 监听 主机 A 或 B 与 外 网 的 通信 , 则 只 需要 将 上 述 步骤 中 的 A 或 B 
中 的 一 个 换 为 网 关 即 可 。 


等 
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可 知 ,通过 ARP 欺骗 ,可 监听 交换 网 络 中 的 通信 。 
6.3 缓冲 区 溢出 


1988 年 11 月 ,许多 组 织 与 机 构 不 得 不 因为 “Morris 蠕虫 ”而 切断 Internet 连接 ， 
“Morris 蠕虫 ”是 23 岁 的 程序 员 Robert Tappan Morris 编写 的 用 于 攻击 VAX 和 Sun 机 器 
的 程序 。 据 有 关 方 面 估计 ,这 个 程序 大 约 使 得 整个 Internet 的 10% 崩 演 。Morris 蠕虫 利用 
了 一 个 被 称 为 缓冲 区 溢出 的 程序 缺陷 。 

6.3.1 缓冲 区 溢出 原理 

缓冲 区 溢出 的 原理 如 图 6-1 所 示 ,由 于 内 存 的 生长 方向 与 堆栈 的 生长 方向 是 相反 的 , 堆 
栈 是 从 内 存 的 低 端 向 内 存 的 高 端 生长 ,那么 向 堆栈 中 压 人 的 数据 超过 了 堆栈 预先 分 配 的 容 
量 时 ,就 会 覆盖 内 存 高 端的 有 用 数据 ,此 时 就 会 出 现 堆栈 溢出 ,从 而 使 得 程序 失败 ,如 果 发 生 
堆栈 溢出 的 是 大 型 程序 , 则 有 可 能 导致 系统 月 演 。 


几 向 局 部 变量 数组 buf 中 压 入 的 字符 过 多 ， 

天 大 人 则 字符 被 写 入 EBP、ret 所 在 的 空间 
| | 

办 局 部 变量 字符 数组 buf|| 间 

的 的 

生 EBP 生 

长 一 一 

方 ret 方 

向 向 

参 

内 存 高 端 ds 


6-1 缓冲 区 溢出 的 原理 


如 果 仅 仅 是 因为 如 例子 中 的 ,输入 字符 串 的 长 度 超过 了 预先 分 配 的 容量 ,覆盖 了 EBP、 
ret 的 空间 ,那么 可 能 造成 的 损害 是 比较 小 的 。 如 果 攻 击 者 编写 黑客 程序 ,通过 覆盖 有 缓冲 
区 漏洞 的 程序 的 返回 地 址 ,让 函数 返回 后 直接 执行 他 们 编写 的 代码 ,将 造成 巨大 的 损失 。 


6.3.2 缓冲 区 溢出 实例 


这 里 主要 介绍 一 下 Microsoft Windows Messenger 服务 远程 堆 溢出 漏洞 的 情形 。 

Windows Messenger 服务 用 于 Microsoft Windows 操作 系统 服务 器 与 客户 端 之 间 互 相 
发 送 一 些 短 消息 。Microsoft Windows Messenger 服务 存在 堆 溢 出 问题 ,远程 攻击 者 可 以 利 
这 个 漏洞 以 系统 权限 在 目标 机 器 上 执行 任意 指令 。 问 题 存在 于 Messenger 服务 程序 的 
search-by-name 函数 中 ,攻击 者 提交 特定 序列 的 字符 串 给 这 个 函数 可 造成 堆 溢 出 ,精心 构建 
提交 数据 可 能 以 系统 权限 在 目标 机 器 上 执行 任意 指令 。 消 息 通 过 NetBIOS 或 者 RPC 提交 
给 消息 服务 ,因此 可 以 通过 封闭 NETBIOS 端口 (137-139) 和 使 用 防火 墙 过 滤 UDP 广播 包 
来 阻挡 此 类 消息 。 

用 到 的 工具 有 X-Scan 3.3、 专 用 于 Microsoft Windows Messenger 服务 远程 堆 溢出 漏 
洞 的 扫描 工具 RetinaMSGSVC. exe .漏洞 利用 工具 msgdos. exe。 
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首先 ,对 目标 主机 进行 漏洞 扫描 ,利用 X-Scan3. 3 对 202. 119. 201. 1 一 202. 119. 201. 
254 网 段 进 行 漏洞 扫描 ,发 现 主 机 202. 119. 201. 71 存在 安全 漏洞 ,如 图 6-2 所 示 。 


202.119.201.71 
202.119.201.71 


smtp (25ftep) 发 现 安全 泼洒 
名 发 现 安全 漏洞 


图 6-2 发 现 主 机 漏洞 
其 中 的 一 个 漏洞 为 Microsoft Windows Messenger 服务 远程 堆 溢 出 漏洞 ,图 6-3 为 漏洞 


信息 。 
漏洞 microsoft-ds (445/tcp) 微软 Messenger Service 洲 出 漏洞 (828035) 

Windows 信 息 服 务 存在 道 出 漏洞 。 
远程 攻击 者 能 利用 该 漏洞 在 系统 中 以 Local System 权限 执行 任意 代码 ， 
或 对 Messager 服 务实 施 拒绝 服务 攻击 。 
注意 ; 此 插件 是 通过 读 远 程 注 册 素 中 的 补丁 信息 ， 依 据 MS03-033 补 丁 是 天 安装 
来 关 届 i 该 漏洞 是 否 存 在 的 ， 
因此 可 产生 误 报 。 
解决 方案 ; 参考 http://www,microsoft,com/technet/security /bulletinjms03-043,asp 


风险 等 级 :高 
图 6-3 漏洞 描述 
为 确定 目标 主机 202. 119. 201. 71 确实 存在 该 漏洞 , 利用 Microsoft Windows 
Messenger 服务 远程 堆 溢 出 漏洞 的 扫描 工具 RetinaMSGSVC. exe 对 其 进行 扫描 (如 图 6-4 
所 示 ) ,扫描 结果 出 现 VULENRABLE to MS03-43 ,说 明 该 主机 确实 可 能 存在 此 漏洞 。 


Retina(R) - Single Audit Scanner - Copyright eEye Digital Security 2003 


Ele Vew Help 


Retina | Retina(R) - Messenger Service (MS03-43) Scanner 


Scan: 


Hi Range scan Stat IP 202.119.201. 71 


回 Show ony vuinerable servers 


加 Resolve scanned IPs 


Threads ENS 


Messenger .| Server 
Vulnerability 202.119.201.73 lenovo-9deb9b76.0ffice.cumtcs.net “Messenger service disabled 
202.119.201.71 8818381c76ad4b9 VULNERABLE to MS03-43 


6-4 。 ”RetinaMSGSVC. exe 扫描 结果 


然后 ,利用 msgdos. exe 对 主机 202. 119. 201. 71 进行 攻击 ,msgdos. exe 是 一 个 命令 行 
工具 ,如 图 6-5 所 示 。 


:Insgdos -exe 282.119.281.71 
Max "body’ size Cincl. terninal NULL char> = 3949 


Iotal length of strings = 3948 


IPacket size = 4972 
IFields size = 3992 


6-5 ”利用 msgdos. exe 对 主机 进行 攻击 
如 果 洲 出 成 功 , 则 目标 主机 将 会 在 一 分 钟 后 重启 ,如 图 6-6 所 示 。 
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FIT 


OE 


离 关机 还 有 : 00:00:25 
一 一 一 一 一 一 | 
系统 处 理 程序 
C Tt ee exe 演 直 | 


esrmet 1 


6-6 目标 主机 被 洲 出 


6.3.3 缓冲 区 溢出 的 防范 


针对 缓冲 区 溢出 ,程序 员 和 系统 管理 员 应 采取 以 下 一 些 措施 防御 缓冲 区 溢出 。 

1. 编写 正确 的 代码 

缓冲 区 溢出 漏洞 存在 的 原因 是 在 程序 开发 时 使 用 了 与 字符 串 操作 相关 的 函数 ,没有 对 
函数 参数 进行 严格 控制 ,导致 数据 越界 造成 的 。 如 果 能 确保 缓冲 区 中 数据 不 越界 并 有 效 ,就 
可 以 避免 缓冲 区 溢出 。 由 于 C/C++ 语言 注重 效率 而 忽视 正确 性 ,是 不 进行 强 类 型 和 长 度 检 
查 的 一 种 程序 设计 语言 ,程序 员 在 编写 代码 时 由 于 开发 速度 和 代码 的 简洁 性 ,往往 忽视 了 程 
序 的 健壮 性 ,从 而 导致 缓冲 区 溢出 。 

很 多 存在 漏洞 的 程序 是 由 于 调用 了 一 些 不 安全 的 库 函 数 ,这 些 库 函数 往往 没有 对 数组 
边界 进行 检查 。 现 在 已 经 开发 了 一 些 工 具 和 技术 来 帮助 程序 员 编 写 安全 正确 的 代码 ,例如 
利用 grep 搜索 源 代 码 中 容易 产生 漏洞 的 库 的 调用 。 

2. 非 执行 的 缓冲 区 技术 

所 谓 的 非 执 行 的 缓冲 区 技术 ,也 称 为 堆栈 不 可 执行 .就 是 指 通过 使 被 攻击 程序 的 数据 段 
地 址 空间 不 可 执行 ,从 而 使 得 攻击 者 不 可 能 执行 被 植 入 被 攻击 程序 输入 缓冲 区 的 代码 。 但 
是 ,不 可 能 使 得 所 有 程序 的 数据 段 不 可 执行 , UNIX 和 MS Windows 系统 为 实现 更 好 的 性 
能 和 功能 ,需要 在 数据 段 中 动态 地 放 和 人 可 执行 的 代码 。 所 以 为 了 保持 程序 的 兼容 性 不 可 能 
使 得 所 有 程序 的 数据 段 不 可 执行 ,但 是 可 以 设 定 堆栈 数据 段 不 可 执行 ,这 样 就 可 以 最 大 限度 
地 保证 了 程序 的 兼容 性 。 

非 执 行 的 缓冲 区 技术 可 以 有 效 地 对 付 把 代码 植 入 自动 变量 的 缓冲 区 溢出 攻击 ,而 对 于 
其 他 形式 的 攻击 则 没有 效果 。 通 过 引用 一 个 驻 留 的 程序 的 指针 ,就 可 以 跳 过 这 种 保护 措施 。 
攻击 者 也 可 以 采用 把 代码 植 信 堆 或 者 静态 数据 段 中 来 跳 过 保护 。 

3. 数组 边界 检查 

缓冲 区 溢出 的 一 个 重要 原因 就 是 没有 对 数组 进行 边界 检查 ,如 果 数组 不 能 被 溢出 ,也 就 
不 可 能 发 生 数 组 溢出 攻击 。 当 数组 被 溢出 的 时 候 , 函 数 返 回 地 址 、 过 程 帧 指针 、 函 数 指针 等 
重要 数据 就 有 可 能 被 修改 ,被 植 入 的 攻击 代码 就 可 能 执行 。 因 此 ,对 数组 进行 边界 检查 ,使 
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超 长 代码 不 可 能 植 入 ,这 样 就 完全 没有 了 缓冲 区 溢出 攻击 产生 的 条 件 。 对 数组 边界 检查 , 直 
接 的 办 法 就 是 对 所 有 的 数组 读 写 操作 都 进行 检查 ,但 这 种 完全 检查 要 付出 很 大 的 性 能 代价 。 

4. 程序 指针 完整 性 检查 

序 指针 完整 性 检查 是 指 在 程序 指针 被 应 用 之 前 检测 到 指针 的 改变 ,因此 即使 一 个 攻 

Po bese gece 者 针 的 改变 ,因此 这 个 指针 将 不 会 被 使 
用 。 程 序 指针 完整 性 检查 通过 阻止 缓冲 区 溢出 的 一 个 条 件 一 一 由 于 函数 返回 地 址 或 函数 指 
针 的 改变 而 导致 的 程序 执行 流程 的 改变 ,来 阻止 缓冲 区 溢出 的 发 生 。 

它 的 原理 是 每 次 在 程序 指针 被 引用 之 前 先 检测 该 指针 是 否 已 被 恶意 改动 过 ,如 果 发 现 
被 改动 ,程序 就 拒绝 执行 。 因 此 ,即使 一 个 攻击 者 成 功 地 改变 程序 的 指针 ,由 于 系统 事先 检 
测 到 了 指针 的 改变 ,因此 这 个 指针 不 会 被 使 用 。 常 用 的 程序 指针 完整 性 检查 有 堆栈 保护 和 
指针 保护 。 

堆栈 保护 是 一 种 提供 程序 指针 完整 性 检查 的 编译 器 技术 , 即 在 堆栈 中 函数 返回 地 址 后 
加 了 一 些 附加 的 字 节 ,函数 返回 时 ,如 果 检 测 到 这 个 附加 的 字 节 被 改动 过 , 则 说 明 发 生 过 缓 
冲 区 溢出 攻击 。 但 是 如 果 攻 击 者 预见 到 这 些 附加 字 节 的 存在 , 便 可 以 在 溢出 过 程 中 同样 地 
附加 字 节 ,此 时 可 以 利用 终止 符号 和 随机 符号 对 付 这 种 攻击 ,由 于 终止 符号 不 能 在 常用 的 字 
符 串 函数 中 使 用 ,这 些 函 数 一 旦 遇 到 这 些 终止 符号 ,函数 过 程 就 结束 了 ,随机 符号 方式 使 得 
攻击 者 不 可 能 猜测 到 附加 字 节 的 内 容 , 从 而 加 大 攻击 难度 。 

指针 保护 是 堆栈 保护 的 一 个 推广 ,通过 在 所 有 的 代码 指针 之 后 放置 附加 字 节 来 检验 指 
针 在 被 调用 之 前 的 合法 性 ,如 果 校 验 失败 ,会 发 出 警报 信号 和 退出 程序 的 执行 。 当 然 ,正如 
在 堆栈 保护 中 的 行为 一 样 ,程序 指针 完整 性 检查 也 不 能 解决 所 有 的 缓冲 区 溢出 问题 。 

5. 及 时 安装 安全 补丁 

管理 员 必 须 不 断 关 注 最 新 的 技术 和 补丁 ,不 断 地 对 系统 进行 修补 ,这 是 漏洞 出 现 后 最 迅 
速 有 效 的 补救 措施 。 大 部 分 的 入 侵 是 利用 一 些 已 被 公布 的 漏洞 达成 的 ,如 能 及 时 补 上 这 些 
漏洞 ,将 增强 系统 抵抗 攻击 的 能 力 , 有 效 地 防止 大 部 分 的 攻击 。 

6. 关闭 不 需要 的 特权 程序 

由 于 缓冲 区 溢出 只 有 在 获得 更 高 的 特权 时 才 有 意义 ,所 以 带 有 特权 的 UNIX 下 的 suid 
程序 和 Windows 下 由 系统 管理 员 启 动 的 服务 进程 都 经 常 是 缓冲 区 溢出 攻击 的 目标 。 这 时 
候 , 关 闭 一 些 不 必要 的 特权 程序 就 可 以 降低 被 攻击 的 风险 。 如 Solaris 下 的 fdformat 是 个 有 
缓冲 区 溢出 漏洞 的 suid 程序 ,因为 这 个 格式 化 软盘 的 命令 用 得 较 少 ,最 直接 的 措施 是 去 掉 这 
个 程序 或 者 去 掉 suid 位 。 当 有 缓冲 区 溢出 漏洞 的 程序 还 没有 补丁 时 ,就 可 以 用 这 种 方法 。 


6.4 SQL 注 人 


SQL 注入 是 漏洞 很 常见 的 一 种 类 型 ,一 般 来 说 , 当 非 信任 数据 被 插入 一 条 查询 或 指 
时 ,指令 注入 漏洞 就 会 出 现 。 恶意 输入 会 导致 指令 解释 器 或 查询 处 理 器 对 提供 的 指令 数据 
产生 误解 ,反之 改变 指令 或 查询 原来 的 语义 。 另 外 .对 于 SQL 查询 而 言 , 如 果 应 用 程序 执行 
shell 指令 .查询 LDPA 服务 器 、 使 用 XPath 语句 从 XML 文件 中 抽取 数据 .把 非 信任 数据 翻 


AS 


第 6 章 攻击 与 防范 Ti3l 


译 为 XSLT 样式 单 中 的 一 部 分 等 ,那么 这 个 问题 将 会 出 现 。 

对 通过 Google 搜寻 找到 的 1000 个 网 站 的 随机 取样 测试 ,检测 到 其 中 的 11. 3% 有 易 受 
SQL 注入 攻击 的 可 能 。 这 是 很 可 怕 的 ,这 意味 着 黑客 可 以 远程 利用 那些 应 用 里 的 数据 , 获 
取 任 何 没有 hashed 或 加 密 的 密码 或 信用 卡 数据 ,甚至 有 以 管理 员 身 份 登录 进 这 些 应 用 的 可 
能 。 这 不 仅 对 开发 网 站 的 开发 人 员 来 说 很 糟糕 ,而且 对 使 用 网 站 的 消费 者 或 用 户 来 说 更 糟 
糕 ,因为 他 们 给 网 站 提供 了 数据 ,认为 网 站 是 安全 的 。 


6.4.1 SQL 注入 攻击 的 原理 


SQL 注入 攻击 源 于 英文 “SQL Injection Attack”, 目前 还 没有 看 到 一 种 标准 的 定义 , 常 
见 的 是 对 这 种 攻击 形式 、 特 点 的 描述 。 微 软 技术 中 心 从 两 个 方面 进行 了 描述 : 脚本 注入 式 
的 攻击 ; 恶意 用 户 输入 导致 被 执行 的 SQL 脚本 受到 影响 。Stephen Kost 给 出 了 这 种 攻击 
形式 的 另 一 个 特征 :“ 从 一 个 数据 库 获得 未 经 授权 的 访问 和 直接 检索 , 当 攻 击 者 能 够 操作 数 
据 , 往 应 用 程序 中 插入 一 些 SQL 语句 时 ,SQL 注入 攻击 就 发 生 了 。”SQL 注入 攻击 就 其 本 质 
而 言 ,利用 的 是 SQL 的 语法 ,针对 的 是 应 用 程序 开发 者 编程 过 程 中 的 漏洞 。 

由 于 SQL 注入 攻击 使 用 的 是 SQL 语法 ,使 得 这 种 攻击 具有 广泛 性 。 理 论 上 说 ,对 于 所 
有 基于 SQL 语言 标准 的 数据 库 软 件 都 是 有 效 的 ,包括 MSSQL Server, Oracle, DB2， 
Sybase,MySQL 等 。 当 然 , 各 种 软件 有 自身 的 特点 ,最 终 的 攻击 过 程 可 能 不 尽 相 同 。SQL 
注入 攻击 的 原理 相对 简单 ,易于 掌握 和 实施 ,并 且 整 个 Internet 上 连接 有 数目 惊人 的 数据 库 
系统 ,在 过 去 的 几 年 里 ,SQL 注入 攻击 的 数量 一 直 在 增长 。 


6.4.2 SQL 注入 攻击 实例 


这 里 将 给 出 一 个 SQL 注入 的 攻击 实例 。 结 构 化 查询 语言 (Structured Query Language， 
SQL) 是 大 部 分 关联 数据 库 提供 的 一 门 语言 ,是 作为 应 用 程序 与 数据 库 进 行 通信 的 方法 。 

SQL 注入 的 原理 很 简单 : 利用 未 过 滤 的 程序 变量 ,插入 任意 SQL 语句 。 

下 面 是 一 条 典型 的 SQL 语句 : 


select id, forename, surname from authors, 
选择 authors 表 中 字段 id, forename,surname 的 记录 。 

具体 选择 其 中 一 条 记录 时 可 以 使 用 这 样 的 查询 语句 : 

select id, forename, surname from authors where forename = "john' and surname = "Smith'， 
这 里 值得 注意 的 是 john 和 smith 都 被 包含 在 单 引 号 中 ,如 果 提 交 


forename: 'jo'hn; 


surname: smith; 
查询 语句 就 会 变 为 : 

Select id, forename, surname from authors where forename = 'john'and surname = "smith'， 
当 数 据 库 执行 这 条 语句 时 ,会 返回 这 样 的 信息 : 


Server: Msg 170, Level 15, State 1, Line 1; 
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Line 1: Incorrect syntax near ‘hn'; 
这 是 由 插入 其 中 的 单 引 号 引起 的 ,如 果 提 交 下 面 的 输入 ,整个 authors 表 会 被 删除 。 


Forename: jo'; drop table authors—; 


Surname: ; 


从 上 面 可 以 看 到 ,在 提交 输入 时 ,可 以 构造 特殊 的 字符 串 攻 击 数据 库 。 这 发 生 在 数据 库 
的 查询 过 程 中 ,所 以 通过 附加 精心 构造 的 查询 语句 就 可 以 渗透 到 数据 库 中 。 


6.4.3 防范 SQL 注入 攻击 


防范 SQL 注入 攻击 需要 遵循 几 条 基本 的 规则 : 

(1) 在 构造 动态 SQL 语句 时 ,一定 要 使 用 类 安全 (type-safe) 的 参数 加 码 机 制 。 大 多 数 
的 数据 API, 包 括 ADO 和 ADO. NET, 有 这 样 的 支持 , 即 允 许 指定 所 提供 的 参数 的 确切 类 
型 (譬如 ,字符 串 ,整数 ,日 期 等 ), 可 以 保证 这 些 参数 被 恰当 地 escaped/encoded 了 ,来 避免 
黑客 利用 它们 。 一 定 要 从 始 至 终 地 使 用 这 些 特性 。 

(2) 在 部 署 应 用 前 ,始终 要 做 安全 审 评 (security review)。 建 立 一 个 正式 的 安全 过 程 
(formal security process) ,在 每 次 进行 更 新 时 ,对 所 有 的 编码 做 审 评 。SQL 注入 攻击 从 本 
质 上 看 ,就 是 攻击 者 利用 构造 的 畸形 SQL 语句 通过 开放 的 Web 服务 器 输入 接口 ,把 其 发 
送 到 数据 库 服务 器 执行 。 如 果 Web 服务 器 的 接口 程序 没有 进行 细致 过 滤 就 被 送 往 数 据 库 
服务 器 执行 ,此 时 非法 的 查询 语句 会 取得 其 欲 获 得 的 多 数 敏 感 信 息 。 通 常 把 对 输入 数据 审 
核 的 技术 分 成 以 下 几 类 : 对 非法 数据 进行 修整 而 让 它 变 成 合法 数据 .拒绝 预知 的 非法 语句 
的 输入 、 只 接受 已 知 的 合法 数据 。 

(3) 不 要 把 敏感 性 数据 在 数据 库 里 以 明文 存放 。 密 码 应 该 总 是 在 单 向 函数 变换 过 后 再 
存放 。 

(4) 确认 已 编写 了 自动 化 的 单元 测试 ,来 特别 校 验 数据 访问 层 和 应 用 程序 不 受 SQL 注 
入 攻击 。 

(5) 锁定 数据 库 的 安全 ,只 给 访问 数据 库 的 Web 应 用 功能 所 需 的 最 低 的 权限 。 如 果 
Web 应 用 不 需要 访问 某 些 表 , 那 么 确认 它 没 有 访问 这 些 表 的 权限 。 如 果 Web 应 用 只 需要 
只 读 的 权限 从 account payables 表 来 生成 报表 .那么 确认 禁止 它 对 此 表 的 insert/update/ 
delete 的 权限 。 


6.5 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 攻击 (Distributed Denial of Service, DDoS) 是 一 种 基于 DoS 的 特殊 形 
式 的 拒绝 服务 攻击 ,是 一 种 分 布 .协作 的 大 规模 攻击 方式 ,主要 攻击 较 大 的 站 点 ,比如 商业 站 
点 ,搜索 引擎 等 站 点 。 

分 布 式 拒绝 服务 攻击 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 
DoS 攻击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目标 CPU 速度 低 、 内 存 小 或 者 网 络 带 宽 小 等 各 
项 性 能 指标 不 高 时 , 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 ,计算 机 的 处 理 能 力 


入 
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迅速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 ,这 使 得 攻击 的 困难 程度 加 大 了 , 目 
标 对 恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 ,例如 攻击 软件 每 秒 钟 可 以 发 送 3000 个 攻击 包 ， 
但 主机 与 网 络 带宽 每 秒 钟 可 以 处 理 10 000 个 攻击 包 , 这 样 攻击 就 不 会 产生 明显 的 效果 。 

为 达到 攻击 目的 ,产生 了 分 布 式 的 拒绝 服务 攻击 方式 。 如 果 计 算 机 与 网 络 的 处 理 能 力 
加 大 了 10 倍 , 用 一 台 主 机 进行 DoS 攻击 不 起 作用 的 话 ,那么 攻击 者 使 用 100 台 攻 击 机 同时 
攻击 ,甚至 更 多 的 机 器 同时 攻击 ,那么 目标 主机 就 会 很 快 闪 痪 。 分 布 式 拒绝 服务 攻击 一 般 基 
于 客户 机 /服务 器 模式 ,利用 更 多 的 倪 介 机 发 起 进攻 ,以 比 从 前 更 大 的 规模 来 进攻 受害 者 。 

分 布 式 拒绝 服务 攻击 是 指 借助 于 客户 /服务 器 技术 ,将 多 个 计算 机 联合 起 来 作为 人 侵 平 
台 ,对 一 个 或 多 个 目标 发 动 DoS 入 侵 ,从 而 成 倍 地 提高 拒绝 服务 攻击 入侵 的 威力 。 通 常 ,入 
侵 者 使 用 一 个 偷窃 的 账号 将 DDoS 主 控 程序 安装 在 一 个 特定 计算 机 上 ,在 一 个 特定 的 时 间 
主 控 程 序 与 大 量 的 代理 程序 通信 ,代理 程序 之 前 已 经 被 安装 在 Internet 上 的 许多 计算 机 上 ， 
代理 程序 收 到 指令 时 就 进行 人 侵 。 利 用 客户 /服务 器 技术 , 主 控 程 序 能 在 几 秒 内 激活 成 百 上 
千 个 代理 程序 的 运行 。 

分 布 式 拒绝 服务 攻击 甚至 只 要 一 台 主 机 和 一 个 Modem 就 可 实现 ,与 DoS 不 同 的 是 ,分 
布 式 拒 绝 服务 攻击 是 利用 一 批 受 控制 的 计算 机 向 一 台 计 算 机 发 起 攻击 ,这 样 来 势 迅猛 的 攻 
击 令 人 难以 防备 ,因此 具有 较 大 的 破坏 性 。 


6.5.1 分 布 式 拒绝 服务 攻击 原理 


如 图 6-7 所 示 ,一 个 典型 的 DDoS 攻击 体系 分 成 四 大 部 分 ,攻击 者 . 主 控 端 ,代理 端 与 受 
害 者 。 其 中 攻击 者 对 主 控 端 .代理 端 有 控制 权 或 者 是 部 分 的 控制 权 , 称 其 为 倪 儒 机。 


代理 端 
6-7 ”分布 式 拒绝 服务 攻击 的 原理 


(1) 攻击 者 : 攻击 者 所 用 的 计算 机 是 攻击 主 控 台 ,可 以 是 网 络 上 的 任何 一 台 主 机 。 攻 
击 者 操纵 整个 攻击 过 程 , 它 向 主 控 端 发 送 攻击 命令 。 通 常 它 会 利用 各 种 手段 隐藏 自己 不 被 
别人 发 现 。 

(2) 主 控 端 : 主 控 端 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,这 些 主机 还 分 别 控制 大 量 
的 代理 主机 。 主 控 端 主机 的 上 面 安装 了 特定 的 程序 .因此 它们 可 以 接受 攻击 者 发 来 的 特殊 
指令 ,并 且 可 以 把 这 些 命令 发 送 到 代理 主机 上 。 

(3) 代理 端 : 代理 端 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ,它们 运行 攻击 器 程序 ,接受 和 
运行 主 控 端 发 来 的 命令 。 代 理 端 主机 是 攻击 的 执行 者 ,真正 向 受害 者 主机 发 送 攻击 。 

发 动 DDoS 攻击 一 般 分 为 两 个 阶段 。 
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(1) 初始 的 入 侵 阶段 : 攻击 者 首先 扫描 远程 脆弱 主机 和 服务 器 ,并 采用 黑客 人 侵 手 段 
控制 大 量 的 主机 和 服务 器 ,作为 主 控 端 和 攻击 端 。 

(2) 攻击 阶段 : 攻击 者 向 主 控 端 发 出 攻击 命令 , 主 控 端 再 发 送 给 每 个 攻击 端 ,最 后 由 攻 
击 端 向 被 攻击 的 目标 发 送 DoS 攻击 数据 包 , 对 目标 主机 进行 大 规模 拒绝 服务 攻击 。 


6.5.2 DDoS 攻击 方式 及 分 类 


按照 攻击 路 径 可 以 将 DDoS 分 为 两 大 类 : 直接 攻击 和 反射 攻击 (Distributed Reflection 
Denial of Service,DRDoS) 。 在 直接 攻击 当中 ,攻击 者 直接 向 受害 者 发 送 大 量 的 攻击 包 , 数 
据 包 的 类 型 可 以 是 TCP ICMP、UDP, 或 是 它们 的 混合 。 在 反射 攻击 中 ,代理 端的 源 IP 地 
址 是 受害 端的 IP 地 址 。 常 见 的 反射 攻击 方式 有 Smurf、SYN 洪 泛 、RST 洪 泛 ICMP 洪 泛 、 
DNS 响应 洪 泛 等 。 当 前 常见 攻击 方式 有 四 种 : SYN Flooding、UDP Flooding、ICMP 
Flooding、Smurf。 其 中 SNY Flooding、UDP Flooding 和 ICMP Flooding 属于 直接 攻击 ,而 
Smurf 属于 反射 攻击 。 

1. SYN Flooding 攻击 

SYN Flooding 是 利用 了 传输 层 的 TCP 协议 的 弱点 。 我 们 知道 TCP 是 基于 连接 的 ,也 
就 是 说 在 数据 传输 之 前 ,用 TCP 协议 进行 传输 的 双方 需 通 过 “三 次 握手 ”来 完成 一 个 连接 。 
针对 每 个 连接 ,连接 双方 都 要 为 该 连接 分 配 内 存 资源 : Socket 结构 、Internet 协议 控制 块 结 
构 、TCP 控制 块 结构 等 。 

在 建立 连接 的 三 次 握手 中 假设 客户 端 向 服务 器 端 发 送 了 SNY 报 文 后 突然 死机 或 掉 
线 ,那么 服务 器 端 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 的 ,在 这 
种 情况 下 服务 器 一 般 会 重 试 ,再 次 发 送 SYN 十 ACK 应 答 报 文 并 等 待 一 段 时 间 后 丢弃 这 个 
未 完成 的 连接 ,这 段 时 间 的 长 度 称 为 SYN Timeout。 一 个 用 户 出 现 异 常 导 致 服务 器 端的 一 
个 线程 等 待 1 个 SYN Timeout 并 没有 什么 问题 ,但 是 如 果 这 段 时 间 内 有 大 量 的 类 似 情 况 的 
SNY 数据 包 的 话 ,服务 器 端 将 要 维护 一 个 规划 庞大 的 半 连 接 列表 ,这 会 消耗 非常 多 的 系统 
资源 。 

在 SYN Flooding 攻击 中 ,攻击 者 首先 向 攻击 目标 发 出 伪装 源 IP 地 址 的 SNY 包 , 也 就 
是 连接 请 求 包 , 伪 装 的 源 IP 地 址 是 一 个 虚假 的 或 者 是 一 个 无 法 到 达 的 IP 地 址 。 因 为 如 果 
该 源 IP 地 址 是 可 达 的 ,那么 拥有 这 个 IP 地 址 的 主机 收 到 被 攻击 者 的 SYN 十 ACK 包 后 ,会 
回复 RST 包 , 即 连接 重 置 ,被 攻击 者 则 会 删除 该 连接 ,这 样 攻击 者 就 无 法 达到 目的 了 。 如 果 
源 IP 地 址 是 伪造 的 , 当 被 攻击 者 收 到 连接 请 求 后 ,被 攻击 者 回复 SYN 十 ACK 包 , 并 分 配 资 
源 给 该 连接 。 由 于 SYN 十 ACK 包 是 发 给 伪造 IP 地 址 的 主机 ,因此 不 会 有 任何 响应 。 于 是 
被 攻击 者 继续 发 送 SYN 十 AKC 包 ,并 将 该 连接 放 入 端口 的 队列 中 。 一 般 操 作 系统 都 有 默 
认 的 回复 次 数 和 超时 时 间 ,在 Windows 2000 操作 系统 中 会 重复 发 送 SYN 十 AKC 包 5 次 ， 
每 次 重 发 的 等 待 时 间 增 加 一 倍 : 即 第 一 次 等 待 3 秒 , 第 二 次 等 待 6 秒 ,第 三 次 等 待 12 秒 ,第 
四 次 等 待 24 秒 , 到 第 五 次 等 待 48 秒 。 若 还 收 不 到 回应 ,还 需 等 待 96 秒 , 被 攻击 者 才 会 释放 
划分 给 该 连接 的 资源 。 在 资源 被 释放 前 .已 经 浪费 了 系统 189 秒 的 时 间 。 由 于 端口 队列 的 
大 小 是 有 限 的 , 当 处 于 半 连 接 状 态 一 段 时 间 后 会 被 清除 ,但 如 果 不 断 的 接收 到 大 量 的 伪装 源 
IP 的 连接 请 求 包 , 将 抵消 清除 的 效果 ,最 终 使 被 攻击 者 的 资源 耗 尽 , 无 力 响应 合法 请 求 。 
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2. UDP Flooding 攻击 

用 户 数据 报 协议 (User Datagram Protocol,UDP) 是 ISO 参考 模型 中 一 种 无 连接 的 传 
输 层 协议 ,提供 面向 事务 的 简单 不 可 靠 信 息 传 送 服务 。 它 服务 于 很 多 应 用 层 协 议 , 包 括 
NEFS .简单 网 络 管理 协议 (Simple Network Management Protocol,SNMP) DNS 以 及 简单 
文件 传输 系统 (Trivial File Transfer Protocol,TFTP) 等 。 

因 UDP 位 于 传输 层 需 要 提供 进程 通信 和 能力 ,因此 提出 了 协议 端口 的 概念 ,用 于 标识 通 
信 的 进程 。 应 用 程序 通过 系统 调用 与 某 ( 些 ) 端 口 建 立 连接 后 ,传输 层 传 给 该 端口 的 数据 都 
被 相应 进程 接收 。UDP 有 一 些 保留 端口 ,同一 个 保留 端口 在 UDP 中 可 能 对 应 于 不 同类 型 
的 应 用 进程 ,也 可 能 对 应 于 相同 类 型 的 服务 进程 。 一 个 UDP 端口 是 一 个 可 读 、 可 写 的 软件 
结构 ,内 部 有 一 个 接收 报 文 缓冲 区 。 发 送 数 据 时 UDP 软件 构造 一 个 数据 报 ,然后 将 它 交 给 
IP 软件 , 便 完成 所 有 的 工作 。 接 收 数据 时 ,UDP 软件 先 要 判断 接收 数据 报 的 端口 是 否 与 当 
前 使 用 的 某 端口 匹配 。 如 果 匹 配 , 则 将 数据 报 放 入 相应 接收 队列 ,否则 ,抛弃 该 数据 报 , 并 向 
信 源 端 发 送 “ 端 口 不 可 到 达 ” 的 ICMP 报 文 。 虽 然 端 口 匹配 成 功 ,但 如 果 相 应 端口 队列 已 满 ， 
UDP 也 会 抛弃 数据 报 。 

如 用 Chargen( 字 符 产生 器 ) 和 Echo 服务 传送 毫 无 用 处 的 数据 来 占用 所 有 的 带宽 。 
Echo 如 果 收 到 一 个 包 , 就 会 把 包 中 的 负载 按 原样 发 回 。 如 果 向 Chargen 端口 送 一 个 任意 字 
符 , 它 将 返回 一 个 假 的 随机 字符 串 。 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 
连接 ,回复 地 址 指向 开 着 Echo 服务 的 一 台 计 算 机 ,这 样 就 生成 在 两 台 计 算 机 之 间 的 足够 多 
的 无 用 数据 流 , 如 果 有 过 多 的 无 用 数据 流 就 会 导致 带宽 的 拒绝 服务 攻击 。 

一 个 攻击 者 假冒 某 台 计算 机 的 Echo 端口 向 不 同 的 计算 机 发 起 多 个 Chargen 连接 ,其 
目的 就 是 在 被 假冒 主机 和 这 些 主机 间 产 生 Echo .Chargen 循环 往返 效果 ,使 这 些 主 机 充满 
这 些 无 用 的 数据 包 ,浪费 它们 的 带宽 和 CPU 资源 。 另 外 成 百 上 千 台 代理 端 同时 向 被 攻击 
计算 机 长 时 间 .连续 .大 量 地 发 送 UDP 数据 包 , 使 得 被 攻击 计算 机 耗费 大 量 的 CUP 资源 处 
理 ,疲于奔命 ,最 终 使 被 攻击 计算 机 瘫痪 。 

3. ICMP 攻击 

ICMP(Internet Control Message Protocol, 控 制 消息 协议 ), 是 TCP/IP 协议 族 的 子 协 
议 ,用 于 在 IP 主机 、 路 由 器 之 间 传 输 控 制 消息 。 控 制 消息 是 指 网 络 是 否 畅 通 、 主 机 是 否 可 
达 、 路 由 是 否 可 用 等 网 络 消息 。 这 些 控制 消息 虽然 并 不 传输 用 户 数据 ,但 是 对 于 用 户 数据 的 
传递 起 着 重要 的 作用 。 

ICMP 协议 对 于 网 络 安全 具有 重要 的 意义 。ICMP 协议 本 身 的 特点 决定 了 它 非常 容易 
被 用 于 攻击 网 络 上 的 路 由 器 和 主机 。 

ICMP Flooding 攻击 就 是 成 百 上 千 台 代理 端 同时 向 目标 主机 长 时 间 .连续 、 大量 地 发 送 
ICMP 数据 包 , 最 终 使 系统 次 痪 。 大 量 的 ICMP 数据 包 会 形成 *ICMP 风暴 ”, 使 得 目标 主机 
耗费 大 量 的 CPU 资源 处 理 , 其 方式 与 UDP Flooding 攻击 有 些 类 似 , 只 不 过 是 发 送 的 ICMP 
数据 包 。 现 在 一 些 路 由 器 采取 以 下 策略 来 防止 ICMP Flooding: 在 广域网 接口 和 局 域 网 接 
口上 , 当 路 由 器 的 接口 接收 到 每 秒 超过 1000 个 ICMP 数据 包 时 ,路 由 器 将 临时 关闭 这 个 IP 
地 址 的 所 有 数据 进入 。 
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4. Smurf 攻击 


Smurf 攻击 是 根据 最 初 能 发 起 这 种 攻击 的 攻击 程序 命名 的 ,Smurf 是 一 种 间接 、 借 力 的 
攻击 方式 。 它 是 一 种 利用 了 ICMP 协议 的 反射 攻击 方式 。 所 谓 的 Smurf 攻击 是 指 ,攻击 者 
在 远程 机 器 上 发 送 ICMP 应 答 请 求 服 务 ,其 目标 主机 不 是 某 一 个 主机 的 IP 地 址 ,而 是 某 个 
网 络 的 广播 地 址 ,其 请 求 包 的 源 IP 不 是 发 起 攻击 的 IP 地 址 ,而 是 加 以 伪装 的 将 要 攻击 的 目 
标 主 机 的 IP 地 址 。 大 量 主机 收 到 ICMP 应 答 请 求 服 务 包 后 ,按照 源 IP 返回 请 求 信息 ,从 而 
导致 受 攻击 主机 的 服务 性 能 下 降 ,甚至 崩溃 。 

任何 连接 到 互联 网 上 的 支持 ICMP 请 求 响应 的 网 络 设备 都 可 能 成 为 这 种 攻击 的 目标 。 
设想 发 送 一 个 IP 包 到 广播 地 址 192. 168. 1. 0 ,假设 这 个 网 络 中 有 50 台 计 算 机 ,那么 将 会 收 
到 50 次 的 应 答 ,广播 地 址 在 这 里 起 到 了 放大 器 的 作用 。Smnurf 攻击 就 是 利用 了 这 种 作用 ， 
如 果 A 发 送 1KB 大 小 的 ICMP Echo Request 到 广播 地 址 ,那么 A 将 收 到 IKB * N 的 
ICMP Echo Reply 应 答 数 据 , 其 中 N 为 网 络 中 计算 机 的 总 数 。 当 N 等 于 100 万 时 ,产生 的 
应 答 将 达到 1GB, 这 将 会 大 量 消耗 网 络 资源 。 如 果 B 假冒 A 的 IP 地 址 向 广播 地 址 发 送 
ICMP Echo Request, 那 么 收 到 应 答 的 是 A, 对 A 来 说 就 形成 了 一 次 DDoS 攻击 。 

Smurf 攻击 行为 的 完成 涉及 三 个 角色 : 攻击 者 、 中 间 脆 弱 网 和 目标 受害 者 。 攻 击 者 伪 
造 一 个 ICMP Echo 请 求 包 , 包 中 的 源 IP 地 址 为 目标 受害 者 的 IP 地 址 ,目的 IP 地 址 为 中 间 
脆弱 网 络 的 广播 地 址 ,并 将 该 请 求 包 发 送 到 中 间 脆 弱 网 。 中 间 脆 弱 网 中 的 主机 收 到 这 个 
ICMP Echo 请 求 包 时 ,会 以 Echo 响应 包 作 为 应 答 ,应 答 包 被 发 送 到 目标 受害 者 。 这 样 大 量 
同时 返回 的 Echo 响应 数据 包 会 造成 目标 主机 所 在 的 网 络 严 重 拥塞 , 丢 包 ,其 至 完全 不 可 用 
等 现象 ,从 而 达到 攻击 目的 。 尽 管 中 间 脆弱 网 络 没有 被 称 为 受害 者 ,但 实际 上 中 间 网 络 的 性 
能 也 会 遭受 严重 影响 。 

常用 的 DDoS 工具 有 Trinoo、TFN、Stacheluraht、TFN2K 和 Trinity v3 等 。 


6.6 ”TCP 会 话 动 持 


会 话 劫持 (session hijack) ,就 是 在 一 次 正常 的 会 话 过 程 当 中 ,攻击 者 作为 第 三 方 参与 到 
其 中 ,他 可 以 在 正常 数据 包 中 插入 恶意 数据 ,也 可 以 在 双方 的 会 话 当 中 进行 监听 ,甚至 可 以 
是 代替 某 一 方 主机 接管 会 话 。 可 以 把 会 话 支持 攻击 分 为 两 种 形式 : 被 动 动 持 与 主动 支持 ; 
被 动 动 持 实际 上 就 是 嗅 探 双 方 会 话 的 数据 ,获得 敏感 数据 ; 而 主动 劫持 则 是 将 会 话 当 中 的 
某 一 台 主 机 踢 下 线 , 然 后 由 攻击 者 取代 并 接管 会 话 。 

1. TCP 会 话 动 持 的 原理 

TCP 协议 通过 三 次 握手 建立 连接 : 四 客户 机 发 送 一 个 SYN 报 文 ,请 求 连接 服务 器 的 
某 个 端口 , 报 文 里 面 带 有 初始 序列 号 a; 回 服 务 器 返回 包含 初始 序列 号 b 的 SYN 十 ACK 报 
文 ,确认 号 设置 为 a 十 1; 图 客户 发 送 序列 号 a 十 1 ,确认 号 b 十 1 的 ACK 报 文 。 

如 果 在 三 次 握手 过 程 中 序列 号 及 确认 号 都 正确 ,客户 机 便 认为 与 服务 器 建立 了 TCP 连 
接 。TCP 会 话 劫持 就 是 在 一 次 正常 的 通信 过 程 中 ,有 第 三 方 参 与 到 其 中 ,在 基于 TCP 的 会 
话 里 发 出 更 多 的 信息 , 即 从 会 话 双方 直接 联系 变 成 与 第 三 方 联系 。 
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会 话 劫持 攻击 可 分 为 两 种 类 型 : 四 中 间 人 攻击 (Man In The Middle, MITM); 名 注射 
式 攻 击 (injection)。 

下 面 简要 介绍 这 两 种 攻击 类 型 。 

1) MITM 攻击 

要 想 正确 地 实施 中 间 人 攻击 ,攻击 者 首先 需要 使 用 ARP 欺骗 或 DNS 欺骗 ,将 会 话 双方 
的 通讯 流 暗中 改变 ,而 这 种 改变 对 于 会 话 双方 来 说 是 完全 透明 的 。 

关于 ARP(Address Resolution Protocol, 地 址 解析 协议 ) 欺 骗 的 原理 : 在 交换 式 网 络 
中 ,交换 机 在 处 理 数据 的 时 候 , 它 会 根据 自己 机 器 内 部 的 一 个 MAC 到 端口 的 数据 表 来 查询 
符合 要 求 的 MAC 地 址 数据 包 该 发 往 哪 个 端口 。 这 张 表 从 交换 机 开机 的 时 候 就 存在 ,在 每 
个 端口 第 一 次 数据 传送 的 时 候 就 会 记录 对 应 的 端口 的 MAC 地 址 。 而 通过 发 送 伪造 的 
MAC 地 址 数据 包 到 交换 机 ,就 可 以 欺骗 交换 机 刷新 自己 的 MAC 地 址 到 端口 的 数据 表 。 如 
A pe 2 口 ,攻击 者 在 4 口 ,要 监听 A 主机 的 数据 ,那么 就 需要 伪造 一 个 ARP 数据 

,告诉 交换 机 A 主机 MAC 地 址 是 在 4 口 ， rap A 主机 的 数据 
yt 口上 ,这 个 时 候 攻 击 者 就 可 以 监听 传送 到 A 主机 的 数据 ,这 个 就 是 基于 交换 网 
络 的 ARP 欺骗 。 

对 于 DNS(Domain Name System, 域 名 服务 器 ) 欺 骗 的 原理 是 : 正常 的 DNS 请 求 , 是 在 
浏览 器 输入 网 址 后 ,系统 先 查看 Hosts 文件 ,如 果 有 相对 应 的 IP, 就 使 用 这 个 IP 地 址 访问 
网 站 ; 如 果 没 有 ,就 去 请 求 DNS 服务 器 ; DNS 服务 器 在 接收 到 请 求 之 后 ,解析 出 其 对 应 的 
IP 地 址 ,返回 给 本 地 ,最 后 你 就 可 以 登录 网 站 了 。 而 DNS 欺骗 则 是 ,目标 机 将 其 DNS 请 求 
发 送 到 攻击 者 那里 ,然后 攻击 者 伪造 DNS 响应 ,将 正确 的 IP 地 址 替换 为 其 他 IP( 其 中 含有 
恶意 网 页 ) , 当 你 登录 到 攻击 者 指定 的 IP 后 ,不 知 不 觉 就 被 攻击 了 。DNS 欺骗 也 可 以 在 广 
域 网 中 进行 ,比较 常见 的 有 “Web 服务 器 重 定向 ”“ 邮 件 服 务 器 重 定向 ”等 。 

但 是 不 管 是 ARP 欺骗 ,还 是 DNS 欺骗 ,中 间 人 攻击 都 改变 正常 的 通信 流 , 它 就 相当 于 
会 话 双 方 之 间 的 一 个 透明 代理 ,可 以 得 到 一 切 想 知道 的 信息 ,甚至 是 利用 一 些 有 缺陷 的 加 密 
协议 来 实现 。 

2) 注射 式 攻击 

这 是 一 种 比 中 间 人 攻击 实现 起 来 简单 些 的 攻击 , 它 不 会 改变 会 话 双方 的 通信 流 , 而 是 在 
双方 正常 的 通信 流 中 插入 恶意 数据 。 在 注射 式 攻击 中 ,需要 实现 两 种 技术 : IP 欺骗 ; 
四 预测 TCP 序列 号 。 

对 于 IP 欺骗 ,有 两 种 情况 需要 用 到 : 中 隐藏 自己 的 了 P 地 址 ; @@ 利 用 两 台 机 器 之 间 的 信任 
关系 实施 人 侵 。 对 于 基于 TCP 协议 的 注射 式 会 话 劫持 ,攻击 者 应 先 采 用 嗅 探 技术 对 目标 进行 
监听 ,然后 从 监听 到 的 信息 中 构造 出 正确 的 序列 号 ,而 猜测 会 话 双 方 的 序列 号 是 非常 重要 的 。 

2. TCP 会 话 动 持 的 防范 

(1) 首先 应 该 使 用 交换 式 网 络 替 代 共 享 式 网 络 , 虽 然 像 Hunt 这 样 的 工具 可 以 在 交换 
环境 中 实现 会 话 劫持 ,但 还 是 应 该 使 用 交换 式 网 络 替 代 共 享 式 网 络 ,因为 这 样 可 以 加 强 防 范 
最 基本 的 嗅 探 攻击 。 

(2) 最 根本 的 解决 办 法 是 采用 加 密 通 信 ,. 使 用 SSH、SSL 对 通信 进行 加 密 , 这 样 会 话 动 
持 就 无 用 武之 地 了 。 

(3) 监视 网 络 流量 ,如 发 现 网 络 中 出 现 大量 的 ACK 包 , 则 有 可 能 已 被 进行 了 会 话 劫持 
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攻击 。 

3. TCP 会 话 动 持 应 用 

这 里 将 介绍 一 种 基于 TCP 会 话 支持 的 告警 方法 。 

当 用 户 发 现 自己 的 网 络 出 现 问题 时 ,都 有 使 用 打开 网 页 的 习惯 去 测试 自己 的 网 络 是 否 
和 外 界 保 持 畅 通 。 所 以 当 用 户 被 隔离 时 ,可 以 利用 这 类 习惯 来 进行 及 时 通知 。 响 应 模块 采 
取 响 应 时 ,会 保存 被 隔离 用 户 的 相关 信息 ,数据 采集 模块 可 以 读 取 表 中 的 IP 地 址 信息 ,建立 
一 张 黑 名 单 。 当 黑 名 单 内 的 IP 开始 和 外 界 建 立 TCP 连接 时 ,控制 器 采取 措施 来 中 断 TCP 
连接 ,并 对 所 有 HTTP 请 求 返回 响应 伪造 报 文 ,使 其 重 定向 到 安全 网 站 提示 用 户 当 前 所 处 
的 状态 ,以 便 其 进行 修复 。 

在 监听 到 问题 主机 发 出 SYN 报 文 时 ,如 果 发 现 这 个 报 文 的 目标 端口 是 80 端口 , 则 立即 
伪装 成 服务 器 发 送 SYN 十 ACK 报 文 给 问题 主机 。 假 设 问题 主机 发 出 的 SYN 报 文 的 序列 
号 为 a, 则 伪造 的 SYN 十 ACK 报 文 的 序列 号 为 b, 确 认 号 为 a 十 1。 因 为 系统 是 在 网 络 各 汇 
聚 层 出 口 处 捕获 数据 ,而 客户 主机 会 经 常 试图 访问 外 网 ,所 以 可 以 较 好 地 保证 伪造 的 报 文 会 
比 真正 的 服务 器 发 出 的 包 先 到 达 问 题 主机 ,会 先 处 理发 送 的 伪造 报 文 。 当 其 认为 这 是 服务 
器 发 来 的 第 二 次 握手 报 文 , 会 发 送 第 三 次 握手 报 文 , 也 就 是 一 个 ACK 报 文 来 建立 这 个 TCP 
连接 。 此 时 间 题 主机 认为 已 经 和 告警 系统 建立 了 一 个 TCP 连接 ,但 其 不 知道 自己 建立 了 伪 
连接 。 在 TCP 连接 建立 以 后 ,问题 主机 的 浏览 器 会 向 服务 器 发 送 一 个 HTTP GET 请 求 报 
文 。 告 警 子 系统 又 先 于 真正 的 服务 器 收 到 了 这 个 报 文 ,将 向 该 主机 发 出 一 个 重 定向 HTTP 
报 文 ,使 其 转 到 指定 的 安全 告警 页 面 。 


习 题 6 


. 计算 机 病毒 具有 哪些 特征 ? 

. 蠕虫 和 病毒 有 哪些 不 同 ? 

. 说 明 一 下 木马 的 工作 原理 。 

. 你 知道 哪些 网 络 嗅 探 软件 ? 试 对 其 中 一 个 进行 说 明 。 
缓冲 区 溢出 的 工作 原理 是 什么 ? 

什么 是 SQL 注入 攻击 ? 

. 分 布 式 拒绝 服务 攻击 的 工具 有 哪些 ? 它们 是 如 何 工作 的 ? 
怎样 防止 TCP 会 话 劫持 攻击 ? 


[ei 


7.1 防火 墙 概述 


在 早期 的 欧洲 建筑 ,为 了 防止 火灾 的 发 生 和 蔓延 ,人 们 在 房屋 的 周围 修建 矮 墙 作为 一 种 


防护 措施 ,这 种 建筑 物 被 称 为 防火 墙 。 在 计算 机 网 
络 中 ,人 们 借助 这 个 概念 在 内 外 网 络 的 边界 上 建立 Ce 3 的 全 
的 一 种 过 滤 和 封锁 系统 ,控制 内 外 网 的 通信 , 称 为 者 
防火 墙 系统 ,如 图 7-1 所 示 。 

防火 墙 是 一 种 网 络 访问 控制 设备 ,位 于 两 个 
(或 多 个 ) 网 络 设备 之 间 ,通过 执行 访问 控制 策略 来 达到 网 络 安全 的 目的 。 它 隔离 了 内 部 和 
外 部 网 络 ,是 内 部 和 外 部 网 络 通信 的 唯一 途径 ,能 够 根据 制定 的 访问 规则 对 流 经 它 的 信息 进 
行 监控 和 审查 ,以 保护 内 部 网 络 不 受 攻击 和 非法 访问 。 

防火 墙 是 不 同 网 络 之 间 的 信息 的 唯一 入口 ,能 根据 用 户 的 需求 制定 安全 规则 ,控制 出 人 
网 络 的 信息 流 , 尽 可 能 的 屏蔽 内 部 网 络 的 拓扑 结构 和 运行 状况 ,保护 内 网 的 安全 ,通常 防火 
墙 的 功能 有 以 下 这 些 。 

1) 防火 墙 作为 网 络 的 集中 监视 点 ,是 网 络 安全 的 屏障 

一 个 防火 墙 ( 作 为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 
安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 络 环 
境 变 得 更 安全 。 防 火 墙 同时 可 以 保护 网 络 免 受 基于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 
和 ICMP 重 定向 中 的 重 定向 路 径 。 

2) 隔离 内 外 网 络 、 保 护 内 部 网 络 ,防止 内 部 信息 的 外 泄 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 部 网 重点 网 段 的 隔离 ,从 而 限制 局 部 重点 
或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ,隐私 是 内 部 网 络 非常 关心 的 问题 ,一 个 
内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ,甚至 
因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透露 内 部 细节 的 服 
务 , 如 Finger.DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 ,最 后 登录 时 间 
和 使 用 shell 类 型 等 。Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 ,从 而 可 以 知道 一 个 系统 
使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正在 连 线 上 网 ,这 个 系统 是 否 在 被 攻击 时 引起 注意 
等 。 防 火 墙 同样 可 以 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这 样 一 台 主 机 的 域名 和 IP 地 址 就 
不 会 被 外 界 所 了 解 。 

3) 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 口令 .加 密 、 身 份 认证 、 审 
计 等 ) 配 置 在 防火 墙 E。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 
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更 经 济 。 例 如 在 网 络 访问 时 ,一 次 一 密 口令 系统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 散 
在 各 个 主机 上 ,而 集中 在 防火 墙 上 。 

4) 有 效 记 录 和 审计 内 外 网 络 活动 

如 果 所 有 的 访问 都 经 过 防火 墙 :那么 ,防火 墙 就 能 记录 下 这 些 访问 并 做 日 志 记录 ,同时 
也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 
网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重 
要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并且 清楚 防火 墙 
的 控制 是 否 充足 。 而 网 络 使 用 的 统计 数据 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重 
要 的 。 


7.2 防火 墙 的 基本 技术 


防火 墙 技 术 可 根据 防范 的 方式 和 侧重 点 的 不 同 而 分 为 很 多 种 类 型 ,但 总 体 来 讲 可 分 为 
包 过 滤 .应 用 级 网 关 和 代理 服务 器 (电路 网 关 ) 等 几 大 类 型 。 
7.2.1 包 过 滤 

包 过 滤 ,简单 地 说 就 是 一 个 根据 数据 包头 部 信息 来 选择 允许 或 拒绝 数据 包 在 网 络 中 传 
输 的 过 程 。 包 过 滤 技 术 应 用 在 网 络 层 ,监视 网 络 上 流入 流出 的 数据 包 ,过 滤 那 些 可 疑 的 包 。 

一 般 将 包 过 滤 功 能 部 署 在 路 由 器 上 ,路 由 器 中 包含 过 滤器 (或 过 滤 软 件 )。 过 滤器 选择 
数据 包 的 依据 是 系统 内 设置 的 过 滤 规 则 一 一 访问 控制 表 (Access Control List,ACL) 。 表 中 
的 规则 都 是 基于 数据 包头 的 包头 信息 制定 的 。 通 过 检查 数据 流 中 每 一 个 数据 包 的 源 地 址 、 
目的 地 址 .端口 号 .协议 状态 等 ,判断 是 否 允 许 数据 包 通过 ,如 图 7-2 所 示 。 

包 过 小路 由 器 (防火 墙 ) 


BB 


外 部 网 络 
内 部 网 络 


7-2 包 过 滤 路 由 器 


1. 包 的 构造 与 解析 

图 7-3 所 示 的 是 数据 包 的 构造 和 它 在 TCP/IP 协议 各 层 上 的 操作 ,分别 是 应 用 层 、 传 输 
层 、 网 络 层 和 网 络 接口 层 。 

数据 包 的 构造 有 点 像 洋葱 , 它 是 由 各 层 连接 的 协议 组 成 的 。 在 每 一 层 ,数据 包 都 由 首部 
和 数据 两 部 分 组 成 。 在 首部 存放 与 这 一 层 相关 的 协议 信息 ,其 他 为 这 一 层 的 数据 信息 ,这些 
数据 信息 包含 了 上 一 层 的 全 部 信息 。 数 据 包 的 构造 过 程 就 是 从 上 一 层 获取 的 信息 加 上 本 层 
的 首部 信息 ,这 就 是 数据 包 的 封装 过 程 ,如 图 7-3 所 示 的 实 线 箭头 所 指 的 路 径 。 与 数据 包 封 
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装 过 程 相 反 ,在 网 络 的 接收 端的 工作 是 包 的 解析 过 程 ,将 收 到 的 收据 包 按 从 下 至 上 的 顺序 去 
掉 首 部 信息 ,如 图 7-3 所 示 的 虚线 箭头 所 指 的 路 径 。 

对 于 包 过 滤 系 统 来 说 , 包 的 最 重要 信息 是 各 层 依次 加 上 的 首部 信息 ,而 包 过 滤 工 作 在 网 
络 层 , 即 对 IP 数据 包 进 行 分 析 。 


应 用 层 SMTP 、Telnet 、FTP 等 应 用 数据 
人 
传输 层 TCP、UDP 、ICMP 等 传输 层 首部 | 应 用 数据 | 
t 
| 
网 络 层 IP 网 络 层 首部 | 传输 层 首部 | 应 用 数据 | 
t 
网 络 接口 层 ATM 、Ethernet 等 | 
， 1 
网 络 接口 层 首部 | 网 络 层 首部 | 传输 层 首部 | 应 用 数据 | 


7-3 数据 包 的 封装 


在 TCP/IP 网 络 上 通信 的 主机 ,在 发 送 端 将 数据 进行 分 组 ,封装 为 IP 数据 包 , 包 中 包含 
发 送 者 的 IP 地 址 和 接收 者 的 IP 地 址 信息 。 当 这 些 数据 包 被 送 上 互联 网 络 时 ,路 由 器 会 读 
取 接 收 者 的 IP 并 选择 一 条 合适 的 物理 线路 发 送出 去 ,信息 包 可 能 经 由 不 同 的 路 线 到 达 目 的 
地 , 当 所 有 的 包 抵 达 目 的 地 后 会 重新 组 装 还 原 。 

包 过 滤 防 火 墙 会 检查 所 有 通过 的 信息 包 中 的 IP 地 址 ,并 按照 系统 管理 员 所 给 定 的 过 滤 
规则 进行 过 滤 。 如 果 对 防火 墙 设 定 某 一 IP 地 址 的 站 点 为 拒绝 访问 ,从 这 个 地 址 来 的 所 有 信 
息 都 会 被 防火 墙 屏蔽 掉 。 包 过 滤 技 术 是 防火 墙 为 系统 提供 安全 保障 的 主要 技术 , 它 通 过 设 
备 对 进出 网 络 的 数据 流 进行 有 选择 的 控制 与 操作 , 包 过 滤 操 作 通 常 在 选择 路 由 的 同时 对 数 
据 包 进 行 过 滤 ( 通 常 是 对 从 互联 网 络 到 内 部 网 络 的 包 进 行 过 滤 )。 用 户 可 以 设 定 一 系列 的 规 
则 ,指定 允许 哪些 类 型 的 数据 包 可 以 流入 或 流出 内 部 网 络 ; 哪些 类 型 的 数据 包 的 传输 应 该 
被 拦截 。 

基于 包 过 滤 技 术 的 防火 墙 包括 静态 包 过 滤 防 火 墙 和 动态 包 过 滤 防 火 墙 。 

2. 静态 包 过 滤 

这 类 防火 墙 几乎 是 与 路 由 器 同时 产生 的 , 它 是 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 ， 
以 便 确 定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 ,所 以 称 之 为 静态 包 过 滤 。 过 滤 规 则 基于 数据 包 
的 报头 信息 进行 制订 。 报 头 信息 中 包括 IP 源 地 址 、IP 目标 地 址 、 传 输 协议 (TCP、UDP、 
ICMP 等 );、TCP/UDP 目标 端口 .ICMP 消息 类 型 等 。 通 常 的 判断 依据 (IP 包 ) 包 括 : 数据 包 
协议 的 类 型 (TCP、UDP、ICMP、IGMP); 数据 包 的 源 、 目 的 IP 地 址 ; 目的 端口 、 源 端口 
(FTP .HTTP、DNS); TCP 选项 标志 (SYN 、ACK.、FIN、RST); 数据 包 的 流向 。 

包 过 滤 防 火 墙 逐一 审查 到 达 的 IP 数据 包 以 判定 它 是 否 与 其 他 包 过 滤 规 则 相 匹 配 。 每 
个 包 有 两 个 部 分 : 数据 部 分 和 包头 。 过 滤 规 则 以 用 于 IP 顺 行 处 理 的 包头 信息 为 基础 ,不 理 
会 包 内 的 正文 信息 内 容 。 根 据 制定 的 规则 ,如 果 找 到 一 个 匹配 , 且 规 则 允许 /拒绝 该 数据 包 ， 
则 发 送 或 拒绝 该 数据 包 ; 如 果 与 设 定 的 所 有 规则 都 不 匹配 , 则 防火 墙 采 用 默认 的 策略 (通常 
默认 的 规则 有 两 种 : 无 匹配 即 拒绝 数据 包 或 无 匹配 即 允 许 数据 包 ) 。 
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例如 下 面 是 包 过 滤 规 则 设 定 的 例子 。* 表示 匹配 所 有 ; 假设 默认 的 规则 是 拒绝 ,内 部 
主机 的 IP 地 址 为 192. 168. 0.2。 该 规则 允许 向 外 发 送 Web 请 求 , 且 人 允许 Web 站 点 的 响应 
包 进 入 。 


规 则 源 地 址 源 端口 目的 地 址 目标 端口 流 向 
接收 192. 168. 0. 2 x x 80443 流出 
接收 x 80443 192. 168. 0. 2 1024 一 65535 流入 


而 在 下 面 的 例子 中 ,所 有 来 自 外 部 主机 的 数据 包 都 将 被 阻止 。 


规 则 源 地 址 源 端口 目的 地 址 目标 端口 流 向 
拒绝 关 关 192. 168. 0. 2 1024 一 65535 流入 


静态 包 过 滤 有 明显 的 特点 : 不 用 改动 应 用 程序 .一 个 包 过 滤 路 由 器 能 协助 保护 整个 网 
络 .过 滤 路 由 器 速度 快 、. 效 率 高 。 包 过 滤 路 由 器 对 终端 用 户 和 应 用 程序 是 透明 的 。 当 数据 包 
过 滤 路 由 器 决定 让 数据 包 通过 时 , 它 与 普通 路 由 器 没什么 区 别 ,甚至 用 户 没 有 认识 到 它 的 存 
在 ,因此 不 需要 专门 的 用 户 培训 或 在 每 台 主 机 上 设置 特别 的 软件 。 
同时 静态 包 过 滤 的 缺陷 也 很 明显 : 为 完成 一 个 特定 任务 , 包 过 滤 的 规则 定义 可 能 比较 
复杂 ,而且 不 容易 验证 逻辑 的 正确 性 ; 用 包 过 滤 控 制 RPC、X-Window 和 FTP 比较 困难 ,这 
些 协议 通常 分 配 的 端口 号 不 固定 ,因此 包 过 滤 路 由 器 很 难 对 其 进行 有 效 控制 ; 且 不 能 防止 
地 址 欺骗 ,IP 地 址 伪造 很 容易 ; 正常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安全 策略 。 

3. 动态 包 过 滤 

静态 包 过 滤 对 IP 数据 包 的 端口 信息 作为 一 项 判断 依据 ,这 样 当 遇 到 利用 动态 端口 的 协 
议 时 就 会 出 现 问题 。 例 如 ,在 FTP 协议 中 ,事先 无 法 知道 哪些 端口 需要 打开 ,而 如 果 采 取 静 
态 包 过 滤 的 方法 ,又 希望 使 用 FTP 服务 ,就 需要 将 可 能 用 到 的 端口 全 部 打开 ,这 是 个 很 大 的 
端口 范围 ,很 可 能 被 攻击 者 利用 。 

动态 包 过 滤 ,也 称 状 态 检测 技术 ,采用 动态 设置 包 过 滤 规 则 的 方法 。 采 用 这 种 技术 的 防 
火 墙 对 通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根 据 需 要 可 动态 地 在 过 滤 规 则 中 增加 或 
更 新 条 目 。 动 态 包 过 滤 防 火 墙 .检查 数据 包 的 头 部 信息 .来 判断 此 连接 是 否 需 要 打开 某 个 端 
口 。 当 数据 包 传 输 完毕 ,到 达 目 的 地 址 时 ,端口 又 马上 恢复 为 关闭 状态 。 动 态 端 口 过 滤 技 术 
使 得 暂时 性 的 端口 只 有 在 需要 的 时 候 才 会 被 打开 ,并 且 会 拒绝 所 有 永久 性 占用 端口 的 请 求 。 

动态 包 过 滤 防 火 墙 的 过 滤 规 则 根据 会 话 状态 的 不 同 而 动态 改变 ,并 且 防 火 墙 采 用 了 一 
个 执行 安全 策略 的 状态 检测 模块 。 当 通过 防火 墙 建 立 从 内 部 主机 访问 外 部 主机 的 TCP/ 
UDP 会 话 时 ,防火 墙 会 将 该 会 话 的 信息 记录 在 一 张 临时 的 状态 会 话 表 中 ,并 且 利 用 该 状态 
表 跟 踪 每 一 个 会 话 状 态 。 同 时 ,防火 墙 还 会 建立 一 些 响应 的 过 滤 规 则 。 所 记录 的 会 话 状态 
信息 包括 : 源 /目的 IP 地址、 端口 号 等 ,对 于 TCP 会 话 , 还 应 包括 序列 号 信息 以 及 与 某 一 主 
机 相关 的 TCP 连接 的 附加 标志 位 信息 。 在 对 数据 包 进 行 过 滤 时 ,不 仅 要 依据 规则 表 , 还 要 
考虑 数据 包 状 态 是 否 符合 会 话 所 处 的 状态 。 只 有 当 数 据 包 的 状态 与 当前 会 话 的 状态 信息 一 
致 时 , 才 被 允许 通过 。 状 态 会 话 信 息 是 临时 的 , 当 会 话 结束 时 ,有 关 该 会 话 的 信息 以 及 相应 
的 过 滤 规 则 就 被 删 掉 。 
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7.2.2 应 用 层 代 理 


代理 技术 是 与 包 过 滤 不 同 的 一 种 防火 墙 技术 。 包 过 滤 主 要 根据 特定 的 过 滤 条 件 来 判定 是 否 
允许 数据 包 通 过 ,一 旦 条 件 满足 ,防火 墙 的 内 外 两 侧 的 主机 将 建立 直接 连接 ,数据 就 可 以 传输 
了 。 这 样 外 部 的 主机 就 有 机 会 连接 内 部 网 络 结构 ,威胁 内 部 网 络 安全 ,因此 引入 了 代理 技术 。 

代理 技术 的 基本 思想 就 是 在 两 个 网 络 之 间 设 置 一 个 “中 间 检 查 站 ”, 两 边 的 网 络 应 用 可 
以 通过 这 个 检查 站 互相 通信 ,但 是 它们 不 能 建立 直接 的 连接 、 越 过 检查 站 直接 通信 。 这 个 中 
间 检 查 站 就 是 代理 服务 器 , 它 运 行 于 两 个 网 络 之 间 ,对 网 络 之 间 的 请 求 进行 检查 ,并 对 合法 
信息 进行 转发 ,如 图 7-4 所 示 。 通 常 代 理 技术 分 为 : 应 用 层 代理 (应 用 网 关 ) .电路 网 关 。 


发 送 请 求 阴 转发 请 求 
= ll 
也 So 一 -==-==- 
转发 响应 请 求 响应 
客户 机 防火 墙 (代理 服务 器 ) 服务 器 


7-4 ”代理 服务 器 工作 过 程 


应 用 层 代理 也 称 应 用 网 关 , 就 是 通常 提 到 的 代理 服务 器 ,是 指 运行 在 防火 墙 主 机 上 的 特 
殊 应 用 程序 或 者 服务 器 程序 ,这 些 程 序 根据 安全 策略 接受 用 户 对 网 络 的 请 求 , 并 在 用 户 访 问 
应 用 信息 时 依据 预先 设 定 的 应 用 层 协议 安全 规则 进行 信息 过 滤 。 

应 用 层 代理 是 在 网 络 应 用 层 通 过 建立 协议 过 滤 和 转发 功能 实现 的 ,工作 于 应 用 层 ( 如 
图 7-5 所 示 ), 适 用 于 特定 的 互联 网 服务 ,如 超 文本 传输 (HTTP) ,远程 文件 传输 (FTP) 等 。 
它 针 对 特定 的 网 络 应 用 服务 协议 使 用 制定 的 数据 过 滤 逻 辑 , 并 在 过 滤 的 同时 对 数据 包 进 行 
必要 的 分 析 、 登 记 和 统计 ,形成 报告 。 


外 部 服务 器 进 禹 一 一 > [代理 服务 器 进程 | 一 一 人 凡 "Kk 一 客户 器 进 短 
应 用 层 应 用 层 应 用 层 
传输 层 传输 层 传输 层 
网 络 层 网 络 层 网 络 层 


防火 墙 (代理 服务 器 ) 


外 部 服务 器 


内 部 工作 站 
图 7-5 应 用 层 代理 
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使 用 代理 服务 器 后 ,内 网 的 用 户 只 能 将 应 用 层 协议 请 求 提 交 给 代理 ,由 代理 访问 请 求 的 
网 络 资源 ,并 将 结果 返回 给 用 户 。 因 此 ,内 部 网 络 用 户 与 外 部 网 络 资源 之 间 不 建立 直接 的 网 
络 连 接 或 者 直接 的 网 络 通信 ,所 有 信息 交互 必须 借助 于 应 用 层 代 理 的 中 继 功 能 。 实 际 上 ,内 
部 网 络 用 户 与 应 用 层 代理 之 间 建 立 应 用 层 连 接 , 而 应 用 层 代理 与 外 部 网 络 资源 之 间 也 将 建 
立 应 用 层 连 接 。 

应 用 层 代理 防火 墙 介 于 内 部 网 络 与 外 部 网 络 资 源 之 间 , 它 对 于 客户 来 说 像 是 一 台 真 的 
服务 器 ,而 对 外 界 的 服务 器 来 说 , 它 又 是 一 台 客 户 机 ; 当代 理 服务 器 接收 到 用 户 对 某 站 点 的 
访问 请 求 后 会 检查 该 请 求 是 否 符 合 规定 ,如 果 规 则 允许 用 户 访 问 该 站 点 ,代理 服务 器 会 像 一 
个 客户 一 样 去 那个 站 点 取 回 所 需 信 息 再 转发 给 客户 。 代 理 服务 器 通常 都 拥有 一 个 高 速 组 
存 , 这 个 缓存 存储 有 用 户 经 常 访问 的 站 点 内 容 , 在 下 一 个 用 户 要 访问 同一 站 点 时 ,服务 器 就 
不 用 重复 地 获取 相同 的 内 容 , 直 接 将 缓存 内 容 发 出 即 可 , 既 节约 了 时 间 也 节约 了 网 络 资源 。 
当 一 个 远程 的 用 户 请 求 内 部 服务 时 , 它 首先 与 这 个 代理 相连 ,经 过 鉴别 后 ,再 由 代理 连接 到 
目的 主机 ,同时 将 服务 器 的 响应 传送 给 所 代理 的 客户 。 

应 用 层 代 理由 代理 服务 器 和 代理 客户 端 两 个 部 件 组 成 ,只 有 通过 两 个 部 件 的 协同 工作 
才能 实现 代理 功能 。 代 理 服务 器 是 运行 在 防火 墙 上 的 应 用 程序 ,而 代理 客户 端 是 对 普通 客 
户 程 序 进 行 修改 后 的 特别 版 本 ,代理 客户 端 与 代理 服务 器 建立 应 用 层 连接 而 不 与 真正 的 外 
部 资源 服务 器 建立 连接 。 

应 用 层 代理 的 优点 如 下 : 

(1) 应 用 层 代理 介 于 内 部 用 户 和 外 部 网 络 之 间 , 不 允许 内 、 外 网 用 户 直 接 相 连 ,从 外 部 
只 能 看 到 该 代理 服务 器 而 无 法 获知 任何 的 内 部 资源 ,如 用 户 的 IP 地 址 等 ,内 部 网 络 的 安全 
性 比较 高 ; 

(2) 应 用 层 代 理 比 单一 的 包 过 滤 更 为 可 靠 , 而 且 会 详细 地 记录 访问 信息 和 日 志 记 录 , 例 
如 ,在 一 个 Http 连接 中 , 包 过 滤 只 能 记录 单个 的 数据 包 , 而 应 用 层 代理 还 可 以 记录 文件 名 、 
URL 等 ; 

(3) 应 用 层 代理 支持 对 单个 用 户 授权 、 提 供用 户 认证 等 安全 策略 。 

但 是 应 用 层 代 理 也 存在 不 足 之 处 。 首 先 , 因 为 代理 相当 于 一 个 简化 的 服务 器 /客户 端 ， 
且 每 个 合法 通过 的 服务 都 要 在 代理 上 启动 服务 器 和 客户 端 。 使 得 网 络 传 输 效 率 比较 低 , 访 
问 速 度 变 慢 。 其 次 ,代理 需要 特定 的 客户 端 程序 , 且 通 常 只 能 针对 特定 的 应 用 ,用 户 不 能 使 
用 未 被 支持 的 服务 。 


7.2.3 电路 网 关 


与 应 用 网 关 相 类 似 , 另 一 种 类 型 的 代理 服务 器 接收 客户 端的 连接 请 求 ,代表 客户 端 完成 
网 络 连 接 。 建 立 起 一 个 回路 ,对 数据 包 的 转发 起 作用 ,并 把 数据 包 提 交 给 网 络 应 用 层 处 理 ， 
故 被 称 为 电路 网 关 。 电 路 网 关 是 建立 在 传输 层 上 的 一 种 代理 方法 , 它 不 像 应 用 网 关 针 对 专 
门 的 应 用 层 协议 ,是 在 内 、 外 网 络 主机 之 间 建 立 一 个 虚拟 电路 进行 通信 ,相当 于 在 防火 墙 上 
直接 开 了 个 口子 进行 传输 ,不 像 应 用 网 关 那 样 能 严密 地 控制 应 用 层 的 信息 。 

电路 层 网 关 只 依赖 于 TCP 连接 ,并 不 进行 任何 附加 的 包 处 理 或 过 滤 。 电 路 层 网 关 就 像 
电线 一 样 , 只 是 在 内 部 连接 和 外 部 连接 之 间 来 回复 制 字 节 。 但 由 于 连接 似乎 是 起 源 于 防火 
墙 ,从 而 隐藏 了 受 保护 网 络 的 有 关 信 息 。 连 接 的 发 起 方 不 直接 与 响应 方 建 立 连接 ,而 是 与 电 
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路 网 关 进 行 交互 ,由 电路 网 关 再 与 响应 方 建立 连接 ,并 在 此 过 程 中 完成 用 户 鉴别 。 这 样 在 传 
输 层 将 建立 两 个 TCP 连接 ,一 个 是 在 传输 层 代 理 和 内 网 主机 之 间 的 TCP 用 户 之 间 , 另 一 个 
是 在 传输 层 代 理 与 外 部 主机 上 的 一 个 TCP 用 户 之 间 。 具 体 过 程 如 图 7-6 所 示 。 


内 部 工作 站 


外 部 服务 器 
8 中 
RE 


7-6 电路 网 关 


电路 层 网 关 实 现 的 一 个 例子 是 SOCKS 软件 包 ,SOCKS v5 在 RFC1928 定义 。 

SOCKS v5 不 仅 支持 基于 TCP 连接 的 应 用 协议 的 代理 ,而 且 支 持 基 于 UDP 传输 的 应 
用 协议 代理 。 它 提供 了 一 个 标准 的 安全 验证 方式 和 对 请 求 响应 的 方式 。 这 个 协议 从 概念 上 
来 讲 是 介 于 应 用 层 和 传输 层 之 间 的 “ 薄 层 (shin-layer)”, 因 而 不 提供 如 传递 ICMP 信息 之 类 
由 网 络 层 网 关 所 提供 的 服务 。 


7.2.4 网 络 地 址 转换 


在 IPv4 时 期 ,IP 地 址 资源 短缺 ,对 于 一 个 机 构 来 说 ,不 可 能 为 每 台 计 算 机 都 申请 一 个 
合法 的 IP 地 址 ,为 解决 这 种 困难 ,人 们 提出 了 很 多 方案 。 网 络 地 址 转换 (Network Address 
Translation,NAT) 就 是 一 种 解决 方案 .人 允许 把 内 部 私有 网 络 地 址 (IP 地 址 ) 转 换 成 合法 网 络 
IP 地 址 。 通 过 NAT 技术 ,可 以 在 局 域 网 内 使 用 内 部 IP 地 址 (私有 IP 地 址 ) , 当 内 网 的 主机 
需要 访问 Internet 时 ,NAT 将 私有 的 IP 地 址 转换 成 合法 的 外 部 地 址 。 如 图 7-7 所 示 ,这 种 
方式 一 方面 可 以 减少 对 外 部 IP 地 址 的 需求 , 另 一 方面 能 够 隐藏 内 部 网 络 的 结构 ,从 而 起 到 
保护 内 网 的 作用 。 

随 着 IPv6 的 普及 .IP 地 址 资源 短缺 问题 将 会 解决 ,但 网 络 地 址 转换 功能 往往 在 防火 墙 
中 实现 ,有 必要 对 其 进行 了 解 。 

1. NAT 概述 

RFC 1918 规定 了 所 谓 的 内 部 网 络 地 址 ,通常 这 些 IP 地 址 用 在 具有 NAT 功能 的 防火 
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内 部 地 址 二 外 外 部 地 址 ] 


Web 服 务 器 丑 


7-7 地址 转换 


墙 后 面 的 内 部 网 络 上 。RFC 规定 的 内 部 地 址 是 : 10. 0. 0. 0 一 10. 255. 255. 255、172. 16. 0. 0 一 
172. 31. 255. 255 和 192. 168. 0. 0 一 192. 168. 255. 255 。 

内 部 IP 地 址 ,只 能 在 内 部 网 络 使 用 ,不 能 在 Internet 上 被 寻 址 。 

NAT 功能 的 实现 一 般 是 在 路 由 器 上 实现 的 ,很 多 防火 墙 也 采用 了 NAT 技术 ,设置 
NAT 功能 的 设备 至 少 要 有 一 个 内 部 端口 ,一 个 外 部 端口 。 内 部 端口 连接 的 网 络 用 户 使 用 
的 是 内 部 IP 地 址 ,外 部 端口 连接 的 是 外 部 的 端口 。 

从 安全 的 角度 来 说 ,NAT 技术 不 一 定 是 为 了 节省 IP 地 址 空间 。NAT 通过 对 外 隐藏 内 
部 网 络 计算 机 的 IP 地 址 ,为 网 络 的 安全 增加 了 一 道 屏 障 。 攻 击 者 在 扫描 时 ,如 果 找 不 到 目 
标 机 器 的 IP 地 址 ,将 很 难 发 动 攻 击 。 

NAT 设备 维护 一 个 状态 表 , 用 来 把 内 部 的 IP 地 址 映射 到 外 部 合法 的 IP 地 址 上 去 。 一 
般 NAT 可 以 分 为 三 种 类 型 : 静态 NAT、 动 态 NAT 和 NAPT。NAT 的 实现 方式 也 有 
三 种 

@OD M->~1 多 个 内 部 地 址 对 应 一 个 外 部 地 址 ; 

@ 1 一 1 一 个 内 部 地 址 对 应 一 个 外 部 地 址 ; 

@ M>N 多 个 内 部 网 络 地 址 对 应 多 个 外 部 地 址 。 

2. 静态 NAT 


静态 NAT 将 内 部 网 络 的 每 台 计 算 机 的 IP 地 址 一 一 映射 到 外 部 ,可 路 由 的 IP 地 址 。 
内 部 计算 机 的 IP 地 址 仍然 是 隐藏 的 ,但 是 这 些 内 部 网 络 的 计算 机 对 外 部 网 络 好 像 是 具有 公 
共 的 、 可 路 由 的 IP 地 址 。 在 静态 NAT 中 :不 管 是 公共 可 寻 址 的 IP 还 是 内 部 私有 IP 地 址 ， 
都 是 静态 的 ,不 会 动态 地 变化 。 从 内 部 IP 地 址 到 公共 IP 地 址 的 转换 是 静态 变化 的 过 程 , 如 
图 7-8 所 示 。 

在 图 7-8 中 ,每 个 内 部 IP 地 址 对 应 一 个 公共 IP 地 址 ,其 中 192. 168. 0. 10、192. 168. 0. 
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时 192.168.0.10 一 -一 -一 -一 -一 — 202.119.201.73 


-一 202.119.201.74 


S$" --------- J 202.119.201.75 
0 各 本 和 全 202.119.201.76 


图 7-8 静态 NAT 转换 


11、192.168. 0.12、192.168.0.13 是 内 部 私有 地 址 ,对 应 的 外 部 公共 IP 地 址 为 202. 119. 
201.73、202. 119. 201. 74、202. 119. 201. 75、202. 119. 201. 76。 假 如 ,当主 机 192. 168. 0. 13 
要 向 外 部 访问 Web 服务 器 时 ,就 通过 NAT 转换 ,将 内 部 地 址 转换 成 外 部 地 址 202. 119. 
201.76, 与 Web 服务 器 建立 连接 ; 对 于 Web 服务 器 来 说 好 像 是 直接 与 202. 119. 201. 76 相 
连 一 样 。 

3. 动态 NAT 

动态 NAT 是 为 每 个 内 部 的 IP 地 址 分 配 一 个 临时 的 外 部 IP 地 址 ,动态 NAT 与 静态 
NAT 不 同 的 地 方 在 于 ,动态 NAT 是 多 对 多 的 , 它 将 内 部 地 址 映射 到 一 个 合法 地 址 池 中 。 
也 就 是 说 ,动态 NAT 在 外 部 网 络 定义 了 一 系列 的 合法 地 址 ,形成 地 址 池 ,地 址 转换 时 ,从 合 
法 地 址 池 中 动态 地 选择 一 个 未 使 用 的 地 址 来 对 内 部 地 址 进行 转换 。 

通常 ,网络 中 的 动态 NAT 设备 会 维护 一 张 表 , 该 表 记 录 了 所 有 可 用 的 外 部 合法 IP 地 
址 。 当 有 内 部 IP 地 址 请 求 到 来 时 ,NAT 设备 会 自动 为 其 分 配 一 个 空闲 的 外 部 合法 IP 地 
址 。 例 如 ,在 图 7-9 中 ,当主 机 192. 168. 0. 12 想 要 访问 Internet 的 外 部 服务 时 ,NAT 设备 
会 在 地 址 池 202. 119. 201. 73 一 202. 119. 201. 80 中 选择 一 个 合法 的 IP 地 址 对 其 进行 转换 。 

使 用 动态 NAT 不 仅 能 对 外 部 网 络 屏蔽 内 网 的 部 署 结构 ,同时 增加 了 从 外 部 网 络 监控 
主机 的 难度 ,从 而 保证 内 网 的 安全 。 


202.119.201.73 


202.119.201.74 


202.119.201.80 


“ 
也 192.168.0.30 所 


7-9 动态 NAT 转换 
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4. NAPT 

在 动态 地 址 转换 中 , 当 内 部 网 络 主机 访问 外 网 的 需求 量 增多 时 ,合法 地 址 列表 中 的 IP 
地 址 会 不 够 用 ,这 时 可 以 利用 传输 层 TCP/UDP 的 端口 号 字段 来 协助 建立 NAT 转换 表 项 。 
这 样 多 个 私有 地 址 可 以 通过 一 个 合法 地 址 进行 转换 。 这 种 NAT 技术 被 称 为 网 络 地 址 端口 
映射 (NetWork Address Port Translation，NAPT) 。 

网 络 地 址 端口 映射 ,可 以 使 多 个 内 部 主机 映射 到 外 部 网 络 中 的 一 IP 上 (多 对 
一 的 方式 ) ,同时 在 该 地 址 加 上 一 个 由 NAT 设备 选 定 的 TCPVUDP 端口 号 ,再 通过 TCP/ 
UDP 的 端口 号 来 区 分 不 同 的 主机 连接 。 

例如 ,假设 内 部 主机 192. 168. 0. 11 与 192. 168. 0. 12 都 发 送 端口 为 1200 的 数据 包 。 执 
行 端口 映射 的 网 关 可 以 将 这 两 台 主 机 发 出 的 包 的 源 端 月 改 为 使 用 两 个 不 同 端 日 52001 和 
52002 ,而 源 地 址 使 用 一 in 202. 119. 201.75。 这 样 ,目的 端口 为 52001 的 响应 包 
就 发 送 给 192. 168. 0. 11, 而 目的 端口 为 52002 的 响应 包 发 送 给 192. 168. 0. 12。 

5. NAT 技术 的 安全 问题 

在 使 用 NAT 时 ,Internet 上 的 主机 表面 上 看 起 来 直接 与 NAT 设备 通信 ,而 非 与 专用 
网 络 中 实际 的 主机 通信 。 输 入 的 数据 包 被 发 送 到 NAT 设备 的 IP 地 址 上 ,并 且 NAT 设备 
将 目的 包头 地 址 由 自己 的 Internet 地 址 变 为 真正 的 目的 主机 的 专用 网 络 地 址 。 而 结果 是 ， 
理论 上 一 个 全 球 唯一 IP 地 址 后 面 可 以 连接 几 百 台 、 几 千 台 乃至 儿 百 万 台 拥有 专用 地 址 的 主 

。 但 是 ,这 实际 上 存在 着 缺陷 。 例 如 ,许多 Internet 协议 和 应 用 依赖 于 真正 的 端 到 端 网 
络 , 在 这 种 网 络 上 ,数据 包 完 全 不 加 修改 地 从 源 地 址 发 送 到 目的 地 址 。NAT 还 提出 了 管理 
上 的 挑战 。 尽 管 NAT 对 于 一 个 缺少 足够 的 全 球 唯一 Internet 地 址 的 组 织 、 分 支 机 构 或 者 
部 门 来 说 是 一 种 不 错 的 解决 方案 ,但 是 当 重 组 、 合 并 或 收购 需要 对 两 个 或 更 多 的 专用 网 络 进 

行 整合 时 , 它 就 变 成 了 一 个 严重 的 问题 。 甚 至 在 组 织 结构 稳定 的 情况 下 ,NAT 系统 不 能 多 
层 嵌 套 , 从 而 造成 路 由 亚 梦 。 

此 外 , 当 改 变 网 络 的 IP 地 址 时 ,都 要 仔细 考虑 这 样 做 会 给 网 络 中 已 有 的 安全 机 制 带 来 
什么 样 的 影响 。 如 防火 墙根 据 IP 报头 中 包含 的 TCP 端口 号 、 源 IP 地 址 、 目 的 IP 地 址 以 及 
其 他 一 些 信息 来 决定 是 否 让 该 数据 包 通过 。 可 以 按照 NAT 设备 所 处 位 置 来 改变 防火 墙 过 
滤 规 则 ,这 是 因为 NAT 改变 了 源 或 目的 IP 地 址 。 如 果 一 台 NAT 设备 ,如 内 部 路 由 器 ,被 
置 于 受 防火 墙 保 护 的 一 侧 ,将 不 得 不 改变 负责 控制 NAT 设备 后 面 网 络 流量 的 所 有 安全 规 

。 在 许多 网 络 中 ,NAT 机 制 都 是 在 防火 墙 上 实现 的 。 它 的 目的 是 使 防火 墙 能 够 提供 对 
网 络 访问 与 地 址 转换 的 双重 控制 功能 。 除 非 可 以 严格 地 限定 哪 一 种 网 络 连接 可 以 被 进行 
NAT 转换 ,否则 不 要 将 NAT 设备 置 于 防火 墙 之 外 。 任 何 一 位 攻击 者 ,只 要 他 能 够 使 NAT 
误 以 为 他 的 连接 请 求 是 被 允许 的 ,都 可 以 以 一 个 授权 用 户 的 身份 对 内 部 网 络 进行 访问 。 如 
果 企 业 正在 使 用 IP 安全 协议 (IPSec) 来 构造 一 个 虚拟 专用 网 (VPN) 时 ,错误 地 放置 NAT 
设备 会 毁 了 工程 。 原 则 上 ,NAT 设备 应 该 被 置 于 VPN 受 保护 的 一 侧 , 因 为 NAT 需要 改动 
IP 报头 中 的 地 址 域 ,而 在 IPSec 报头 中 该 域 是 无 法 被 改变 的 ,这 样 就 可 以 准确 地 获知 原始 
报 文 是 发 自 哪 一 台 工作 站 的 。 如 果 IP 地 址 被 改变 了 ,那么 IPSec 的 安全 机 制 也 就 失效 了 ， 
因为 既然 源 IP 地 址 都 可 以 被 改动 ,那么 报 文 内 容 就 更 不 用 说 了 。 
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7.2.5 匿名 代理 TOR 


TOR(The Onion Router) 是 第 二 代 洋 葱 路 由 (onion routing) 的 一 种 实现 ,用 户 通 过 
TOR 可 以 在 因特网 上 进行 匿名 交流 。 最 初 该 项 目 由 美国 海军 研究 实验 室 (US Naval 
Research Laboratory) 赞 助 。2004 年 后 期 ,TOR 成 为 电子 前 哨 基金 会 (Electronic Frontier 
Foundation,EFF) 的 一 个 项 目 。2005 年 后 期 ,EFF 不 再 赞助 TOR 项 目 , 但 他 们 继续 维持 
TOR 的 官方 网 站 。 

TOR 专门 防范 流量 过 滤 . 嗅 探 分 析 ,使 用 户 免 受 其 害 。TOR 在 由 洋葱 路 由 器 组 成 的 表 
层 网 (overlay network) 上 进行 通信 ,可 以 实现 匿名 对 外 连接 、 匿 名 隐藏 服务 。 

1. 匿名 外 连 

TOR 用 户 在 本 机 运行 一 个 洋葱 代理 服务 器 (onion proxy) ,这 个 代理 周期 性 地 与 其 他 
TOR 交流 ,从 而 在 TOR 网 络 中 构成 虚 电 路 (virtual circuit) 。TOR 是 在 应 用 层 进 行 加 密 
(也 就 是 按照 onion 的 模式 ) ,而 它 之 所 以 被 称 为 onion 是 因为 它 的 结构 很 像 洋 葱 , 只 能 看 出 
它 的 外 表 , 想 要 看 到 内 核 就 必须 把 它 层 层 剥 开 。 即 每 个 洋葱 路 由 器 间 的 传输 都 经 过 对 称 密 
钥 加 密 ,形成 有 层次 的 结构 。 它 中 间 所 经 过 的 各 节点 ,都 好 像 洋 葱 的 一 层 皮 ,把 客户 端 包 在 
里 面 , 算 是 保护 信息 来 源 的 一 种 方式 ,这 样 在 洋葱 路 由 器 之 间 可 以 保持 通信 安全 。 同 时 对 于 
客户 端 ,洋葱 代理 服务 器 又 作为 SOCKS 接口 。 一 些 应 用 程序 就 可 以 将 TOR 作为 代理 服务 
器 ,网 络 通信 就 可 以 通过 TOR 的 虚拟 环 路 来 进行 。 

进入 TOR 网络 后 ,加 密 信息 在 路 由 器 间 传 递 ,最 后 到 达 “ 出 口 节 点 ”, 明 文 数据 从 这 个 
节点 直接 发 往 原 来 的 目的 地 。 对 于 目的 主机 而 言 ,是 从 “出 口 节点 ”发 来 信息 。 

通过 使 用 TOR ,一 般 的 应 用 程序 都 可 以 实现 匿名 ,比如 IRC、 即 时 通信 ,以 及 浏览 网 页 。 
浏览 网 页 时 ,TOR 常常 与 Privoxy 或 Polipo 等 联合 使 用 ,Privoxy、Polipo 是 开源 代理 服务 
器 ,可 以 在 应 用 层 增加 保护 隐私 。 

2. 规矩 与 滥用 

由 于 TOR 可 以 匿名 进行 TCP 传输 ,这 就 导致 了 被 滥用 的 可 能 。 路 由 器 存放 有 一 个 
“出 口 政策 ”(exit policy) , 它 含 有 各 种 地 址 .端口 的 组 合 规定 ,通过 这 个 来 区 别 哪 些 传输 可 以 
通过 这 个 节点 而 离开 TOR 网 络 ,这样 就 可 能 防范 许多 滥用 的 可 能 。 潜 在 的 滥用 包括 以 下 
几 种 。 

。 P2P: 抛 开 合法 性 不 谈 , 如 果 通 过 TOR 网 络 来 进行 巨额 数据 的 传输 , 那 就 不 合适 了 ， 

毕竟 洋葱 路 由 器 是 由 志愿 者 花费 自己 的 带宽 建立 起 来 的 。 

。 E-mail: 匿名 的 SMTP 很 容易 导致 垃圾 邮件 的 产生 .一般 TOR 节点 的 “出 口 政策 ”， 

都 拒绝 对 外 连接 到 端口 25(smtp 的 端口 ) 。 

。 蓄意 破坏 : 由 于 不 会 被 识破 ,用 户 有 时 会 利用 TOR 来 对 协作 网 站 进行 破坏 ,这 导致 

许多 的 网 站 决定 部 分 限制 对 TOR 的 通信 。 

3. 隐蔽 的 匿名 服务 和 网 站 

TOR 不 仅 可 以 提供 客户 端的 匿名 访问 ,TOR 还 可 以 提供 服务 器 的 匿名 。 通 过 使 用 
TOR 网 络 ,用 户 可 以 维护 位 置 不 可 知 的 服务 器 。 当 然 如 果 要 访问 这 个 隐蔽 的 服务 ,客户 端 
也 得 安装 TOR 。 
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通过 TOR 指定 的 顶级 域名 (Top Level Domain,TLD). onion, 可 以 访问 其 隐藏 的 服务 。 
TOR 网 络 可 以 识别 自己 的 TLD. 并 自动 路 由 到 隐藏 的 服务 。 然 后 ,隐藏 的 服务 将 请 求 交 由 
标准 的 服务 器 软件 进行 处 理 , 这 个 服务 器 软件 应 该 预先 进行 配置 ,从 而 只 侦 听 非 公 开 的 接 
口 。 如 果 这 个 服务 还 可 以 通过 公共 的 因特网 来 访问 , 那 也 会 受到 相关 连 的 攻击 ,这 样 就 没有 
真正 的 隐藏 起 来 。TOR 隐藏 服务 有 个 另外 的 好 处 ,由 于 不 需要 公开 的 IP 地 址 ,服务 就 可 以 
给 在 防火 墙 和 NAT 背后 。 

4. 反 制 防火 墙 

TOR 被 许多 人 用 来 突破 防火 墙 , 这 主要 是 因为 防火 墙 屏 项 了 大 量 的 网 站 。TOR 会 自 
动 检测 节点 是 否 可 达 目 标 地 址 。 如 果 返 回 错误 , 它 会 自动 更 换 节点 。 


7.3 ”防火 墙 的 体系 结构 


在 一 个 网 络 系统 中 ,防火 墙 是 一 个 进行 安全 防护 的 系统 ,由 于 网 络 结构 和 网 络 设备 的 多 
样 性 ,防火墙 在 网 络 中 的 配置 体系 结构 可 能 多 种 多 样 ,在 现 有 的 防火 墙 配置 结构 中 ,主要 有 
屏蔽 路 由 器 、 双 宿主 主机 防火 墙 \ 屏 项 主机 防火 墙 与 屏蔽 子 网 防火 墙 四 种 模式 。 在 介绍 四 种 
模式 之 前 ,首先 了 解 一 下 堡垒 主机 的 概念 。 

保 驹 主机 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 , 它 对 外 部 网 络 是 暴露 的 , 它 为 网 络 间 
的 通信 提供 了 一 个 阻塞 点 。 通 常 堡 垒 主机 作为 应 用 网 关 和 电路 网 关 的 平台 ,是 一 个 组 织 机 
构 网 络 安全 的 中 心 主机 。 因 此 ,经常 是 攻击 者 的 主要 攻击 对 象 , 对 它 必 须 进 行 完 善 的 防御 。 
网 络 管理 员 必 须 严 密 监 视 堡 又 主机 :堡垒 主机 软件 和 系统 的 安全 情况 应 定期 进行 检查 ,对 访 
问 记 录 应 进行 查看 ,以 防 潜在 的 安全 威胁 和 漏洞 。 


7.3.1 屏蔽 路 由 器 结构 


屏蔽 路 由 器 结构 ( 包 过 滤 路 由 器 防火 墙 ) 是 一 种 比较 简单 的 防火 墙 结构 ,通过 在 内 部 网 
络 和 外 部 网 络 的 关键 路 径 上 设置 一 台 带 有 包 过 滤 功 能 的 路 由 器 实现 对 网 络 系统 的 保护 。 屏 
蔽 路 由 器 作为 内 外 连接 的 唯一 通道 ,要求 所 有 的 网 络 数据 包 都 必须 在 此 通过 检查 。 防 火 墙 
允许 通信 的 内 、 外 网 通信 的 主机 之 间 进 行 直接 的 报 文 交换 ,具有 一 定 的 安全 风险 ,如 果 防 火 
墙 被 渗透 或 攻破 ,整个 内 部 网 络 将 完全 暴露 在 攻击 者 面前 。 

屏蔽 路 由 器 结构 的 防火 墙 容 易 实 现 .配置 简 单 \. 对 用 户 透明 ,适用 于 小 型 ,不 太 复杂 的 网 
络 系统 。 屏 项 路 由 器 的 缺点 是 : 日 志 记 录 能 力 差 ,规则 表达 式 比较 复杂 ,可 能 导致 出 现 逻 辑 
差错 ; 不 能 阻止 某 些 类 型 的 攻击 ,特别 是 采用 地 址 欺骗 攻击 技术 的 攻击 ,而且 屏 项 路 由 器 一 
且 被 攻克 后 很 难 发 现 攻 击 者 ,而 且 不 能 识别 不 同 的 用 户 。 


7.3.2 双 宿 主 主机 防火 墙 
双 宿 主 主 机 模式 防火 墙 (dual-homed firewall) ,又 称 双 宿 网 关 防 火 墙 。 在 这 种 防火 墙 配 
置 形式 中 ,通常 使 用 一 台 装 有 两 块 或 多 块 网 卡 的 堡垒 主机 作为 网 关 ,堡垒 主机 上 装 有 代理 服 


务 器 软件 (防火 墙 软件 ) ,两 块 网 卡 分 别 连接 内 网 和 外 网 ,如 图 7-10 所 示 。 
在 双 宿 主 主机 防火 墙 模式 下 ,堡垒 主机 关闭 了 IP 数据 包 转 发 功能 ,采用 代理 的 服务 方 
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内 部 网 络 


双 网 卡 堡垒 
主机 (防火 墙 ) 


pt 


图 7-10 双 宿 主 主机 模式 防火 墙 


式 , 堡 垒 主机 相当 于 一 个 应 用 网 关 或 电路 网 关 。 内 部 主机 从 外 部 不 可 见 , 由 防火 墙 按照 安全 
策略 中 继 允 许 的 网 络 服务 。 

双 宿 主 主机 防火 墙 , 结 构 简 单 明了 ,容易 实现 ,成 本 较 低 ,将 内 部 子 网 和 外 部 Internet 采 
用 物理 设备 和 代理 方式 的 双重 隔离 ,内 部 网 络 的 信息 不 会 泄露 到 外 界 , 内 部 主机 对 外 部 网 络 
是 隐蔽 的 ; 提供 了 强大 的 审计 能 力 和 鉴别 服务 以 及 应 用 代理 服务 。 

这 种 模式 的 防火 墙 的 弱点 是 ,对 所 有 的 服务 协议 和 应 用 都 需要 由 代理 服务 器 来 完成 ,网 
络 访问 速度 降低 ,不 适合 内 部 子 网 大 量 访问 外 部 网 络 的 场合 ; 若 提供 防火 墙 功能 的 堡垒 主 
机 被 黑客 攻破 ,打开 其 IP 数据 包 转 发 功能 , 则 任何 网 上 用 户 均 可 随意 访问 其 内 部 网 络 。 


7.3.3 屏蔽 主机 模式 防火 墙 


屏蔽 主机 模式 防火 墙 是 一 种 包 过 滤 路 由 器 加 应 用 层 网 关 的 双重 安全 保障 体系 ,而 且 有 具 
有 灵活 配置 的 防火 墙 方式 ,如 图 7-11 所 示 。 屏 项 主机 模式 的 防火 墙 由 包 过 滤 路 由 器 和 保全 


主机 (应 用 网 关 ) 组 成 。 
: 
1 
1 


应 用 网 关 


包 过 小 路 由 器 
内 部 网 络 


7-11 屏蔽 主机 防火 墙 


该 模式 的 防火 墙 中 ,堡垒 主机 仅 与 内 网 相连 ,而 包 过 滤 路 由 器 连通 内 部 网 和 外 部 网 。 任 
何 来 自 外 部 网 络 的 所 有 通信 先 到 达 包 过 滤 路 由 器 , 包 过 滤 路 由 器 根据 其 配置 的 规则 对 通信 
进行 过 滤 ,与 应 用 网 关 的 代理 服务 无 关 的 通信 将 被 拒绝 。 应 用 网 关 的 代理 服务 器 将 包 过 滤 
路 由 器 允许 的 外 部 网 络 通信 传送 给 被 保护 的 内 部 网 络 。 另 一 方面 ,内 部 向 外 的 访问 可 能 通 
过 应 用 网 关 代理 ,再 经 包 过 滤 路 由 器 到 达 目 标 。 所 有 的 网 络 流量 都 必须 通过 堡垒 主机 ,堡垒 
主机 需要 拥有 高 等 级 的 安全 。 因 此 在 屏蔽 的 路 由 器 中 数据 包 过 滤 配 置 应 满足 : 

(1) 对 于 来 自 外 部 网 络 的 网 络 流量 ,只 有 发 往 堡 又 主机 的 IP 数据 包 才 被 允许 通过 ; 

(2) 对 于 来 自 内 部 网 络 的 网 络 流量 ,只 有 来 自 堡 又 主机 的 IP 数据 包 才 被 允许 通过 。 

屏蔽 主机 模式 防火 墙 可 以 实现 数据 包 级 过 滤 和 应 用 级 的 过 滤 , 比 单独 使 用 包 过 滤 或 应 
用 网 关 防 火 墙 更 加 安全 。 配 置 比较 灵活 ,在 这 种 模式 下 ,内 部 网 络 用 户 访问 外 部 网 络 较为 方 
便 和 灵活 ,在 包 过 滤 路 由 器 和 堡垒 主机 人 允许 的 情况 下 ,用户 可 以 直接 访问 外 部 网 络 。 
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屏蔽 主机 模式 防火 墙 的 缺点 : 如 果 攻 击 者 一 旦 攻破 路 由 器 后 面 的 堡垒 主机 ,就 会 导致 
内 部 网 络 处 于 危险 状态 ; 两 个 防火 墙 部 件 的 配置 在 逻辑 上 要 求 严 密 准 确 , 配 置 比较 复杂 , 容 
易 出 现 错误 。 


7.3.4 屏蔽 子 网 模式 防火 墙 


在 双 宿 主 主机 和 屏蔽 主机 模式 的 防火 墙 体系 结构 中 ,堡垒 主机 都 是 一 个 安全 缺陷 ,一 旦 
堡垒 主机 被 攻破 , 则 整个 的 网 络 都 处 于 威胁 之 中 ,解决 的 办 法 就 是 增加 一 个 包 过 滤 路 由 器 ， 
即使 用 屏蔽 子 网 模式 防火 墙 。 

屏蔽 子 网 就 是 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 被 隔离 的 子 网 ,用 两 台 包 过 滤 路 由 
器 将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 如 图 7-12 所 示 的 一 种 实现 ,两 个 包 过 滤 路 
由 器 放 在 子 网 的 两 端 ,在 子 网 内 构成 一 个 * 非 军事 区 CDMZ)”, 内 部 网 络 和 外 部 网 络 均 可 访 
问 被 隔离 的 子 网 ,但 禁止 它们 穿 过 被 屏蔽 子 网 通信 。 有 的 屏蔽 子 网 中 还 设 有 一 台 堡 又 主机 
对 外 提供 公共 服务 ,如 WWW 服务 FTP 服务 以 及 DNS 服务 等 。 为 了 侵入 用 这 种 类 型 的 体 
系 结构 构筑 的 内 部 网 络 ,侵袭 者 必须 要 通过 两 个 包 过 滤 路 由 器 。 即 使 侵袭 者 设法 侵 和 人保 侄 
主机 , 它 将 仍然 必须 通过 内 部 路 由 器 。 


应 用 网 关 
内 部 路 由 器 外 部 路 由 器 
= 
二 一 2 
人 < 
Cis) E-mail 服务 器 Web 服 务 器 | 
DMZ 


图 7-12 屏蔽 子 网 模式 防火 墙 


屏蔽 子 网 模式 防火 墙 ,安全 强度 高 ,攻击 者 要 进入 被 保护 的 内 部 网 络 几乎 不 可 能 ; 但 同 
时 投资 较 高 ,对 安全 管理 员 的 要 求 较 高 ,两 个 包 过 滤 路 由 器 在 配置 上 很 复杂 。 


7.4 防火墙 的 局 限 性 与 发 展 趋势 


7.4.1 防火 墙 的 局 限 性 

尽管 防火 墙 可 以 对 网 络 的 安全 起 到 保护 作用 ,但 不 能 保证 网 络 的 绝对 安全 .在 功能 和 性 
能 上 都 有 一 定 的 局 限 性 .列举 如 下 。 

1. 防火 墙 一 般 不 能 防范 内 部 主动 发 起 的 攻击 


防火 墙 是 一 种 实施 隔离 措施 的 系统 ,对 外 部 具有 严格 的 访问 限制 措施 ,但 对 内 部 发 起 的 
攻击 却 无 能 为 力 。 


第 7 章 防火 墙 153 


2. 防火 墙 不 能 抵抗 最 新 的 未 知 攻击 

防火 墙 是 一 个 被 动 的 安全 策略 执行 设备 ,对 于 新 的 未 知 攻击 或 策略 配置 错误 ,也 无 能 为 
力 。 如 杀毒 软件 和 病毒 一 样 , 总 是 先 出 现 病毒 ,经 过 分 析 人 员 分 析出 特征 码 加 入 到 病毒 库 库 
内 才能 查 杀 。 防 火 墙 的 各 种 策略 ,也 是 在 该 攻击 方式 经 过 专家 分 析 后 给 出 其 特征 进而 设 
置 的 。 

3. 防火 墙 对 于 利用 网 络 协议 缺陷 进行 的 攻击 无 法 防范 

防火 墙 作 为 内 网 与 外 网 的 通信 中 介 , 必 然 需要 允许 网 络 协议 的 执行 ,如 果 攻 击 者 利用 存 
在 缺陷 的 协议 进行 攻击 ,防火 墙 不 能 避免 这 种 攻击 。 例 如 ,利用 DoS 或 DDoS 进行 攻击 。 

4. 防火 墙 对 服务 器 合法 开放 的 端口 的 攻击 大 多 无 法 阻止 

防火 墙 不 能 防止 黑客 通过 防火 墙 准 许 的 访问 端口 对 该 服务 器 的 漏洞 进行 攻击 ,攻击 者 
可 利用 服务 器 提供 的 服务 进行 缺陷 攻击 。 

5. 防火 墙 本 身 会 出 现 安全 漏洞 和 受到 攻击 

防火 墙 自身 也 是 一 个 系统 ,也 有 着 其 硬件 系统 和 软件 ,因此 依然 有 着 漏洞 ,所 以 其 本 身 
也 可 能 受到 攻击 和 出 现 软 、 硬 件 方面 的 故障 。 没 有 厂商 绝对 保证 防火 墙 不 会 存在 安全 漏洞 。 

6. 防火 墙 不 能 防止 数据 驱动 式 的 攻击 

当 有 些 表面 看 起 来 无 害 的 数据 通过 邮件 或 复制 到 内 部 网 的 主机 上 并 被 执行 时 ,就 会 发 
生 数 据 驱动 式 的 攻击 。 例 如 ,一 种 数据 驱动 式 的 攻击 造成 主机 修改 与 系统 安全 有 关 的 配置 
文件 ,从 而 使 人 侵 者 下 一 次 更 容易 攻击 该 系统 。 

7. 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 

防火 墙 本 身 不 具备 查 杀 病毒 的 功能 ,即使 集成 了 第 三 方 的 杀毒 软件 ,通常 也 不 能 及 时 阻 
止 病毒 的 传播 和 入侵。 

8. 防火 墙 可 以 阻 断 攻击 ,但 不 能 消灭 攻击 源 

互联 网 上 病毒 木马、 恶意 试探 等 造成 的 攻击 行为 络绎 不 绝 。 设 置 得 当 的 防火 墙 能 够 阻 
挡 它 们 ,但 是 无 法 清除 攻击 源 。 即 使 防火 墙 进行 了 良好 的 设置 ,使 得 攻击 无 法 穿 透 防火 墙 ， 
但 各 种 攻击 仍然 会 源源 不 断 地 向 防火 墙 发 出 尝试 。 

9. 防火 墙 不 能 防范 人 为 因素 的 攻击 

防火 墙 不 能 防止 由 内 部 人 员 误 操作 或 恶意 破坏 造成 的 威胁 ,防火 墙 不 能 防止 用 户 由 于 
口令 泄露 而 遭受 到 的 攻击 。 

此 外 ,防火 墙 在 性 能 上 不 具备 实时 监控 入 侵 的 能 力 ; 其 功能 和 速度 成 反比 ,防火 墙 的 功 
能 越 多 ,对 CPU 和 内 存 的 消耗 就 越 大 ,速度 越 慢 。 因 此 ,在 构建 网 络 防 御 系 统 时 ,防火 墙 是 
一 个 防护 措施 ,但 仅仅 依靠 防火 墙 是 不 够 的 。 


7.4.2 防火 墙 的 发 展 趋势 

针对 现 有 防火 墙 技 术 存 在 的 不 足 ,未 来 防火 墙 的 发 展 趋势 是 朝 高 速度 、 智 能 化 、 多 功能 
化 、 人 性 化 的 方向 发 展 。 

1. 速度 上 的 发 展 

目前 防火 墙 一 个 很 大 的 局 限 性 是 速度 不 够 ,应 用 网 络 处 理 器 是 实现 高 速 防 火 墙 的 主要 
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方法 。 实 现 高 速 防火 墙 , 算 法 也 是 一 个 关键 ,因为 网 络 处 理 器 集成 了 很 多 硬件 协 处 理 单 元 ， 
因此 比较 容易 实现 高 速 。 对 于 采用 纯 CPU 的 防火 墙 ,就 必须 有 算法 支撑 。 

2. 智能 化 的 发 展 

防火 墙 将 向 着 具备 人 工 智能 的 智能 化 方向 发 展 。 未 来 智能 防火 墙 应 具备 自主 学 习 及 制 
定 识别 与 防御 方法 的 能 力 , 能 自动 识别 并 防御 各 种 黑客 攻击 手法 及 其 相应 变种 攻击 手法 ; 
能 在 网 络 出 口 发 生 异 常 时 自动 调整 与 外 网 的 连接 端口 ; 能 根据 信息 流量 自动 分 配 、 调 整 网 
络 信息 流量 及 协同 多 台 物 理 设备 工作 ; 具有 自动 检测 及 自动 修复 功能 。 

3. 功能 上 的 发 展 

多 功能 也 是 防火 墙 的 发 展 方向 之 一 ,目前 的 组 网 环境 比较 复杂 ,一 般 用 户 和 希望 防火 墙 可 
以 支持 更 多 的 功能 来 满足 多 样 化 的 组 网 需求 ,降低 用 户 对 其 他 专用 设备 的 需求 ,节省 投资 
成 本 。 

4. 人 性 化 的 发 展 

未 来 的 防火 墙 要 具有 易于 安装 和 配置 .管理 的 图 形 化 界面 ,减少 因 配 置 管理 而 导致 的 设 
定 、 实 现 的 错误 。 


习 题 7 
. 什么 叫 防火 墙 ? 说 明 防火 墙 的 作用 和 设置 防火 墙 的 目的 。 
. 防火 墙 的 功能 有 哪些 ? 
. 防火 墙 主 要 分 为 哪 几 类 ? 
. 说 明 包 过 滤 防 火 墙 存在 的 缺陷 或 问题 。 
. 简 述 应 用 层 代理 的 工作 原理 。 


.如 何 访问 受 限 站 点 ? 

. 说明 Internet 防火 墙 的 应 用 体系 结构 及 其 主要 特点 。 
. 你 是 如 何 配置 个 人 防火 墙 的 ? 

. 防火 墙 的 局 限 性 主要 有 哪些 表现 ? 


oaman 中 own 


第 8 音 系统 和 人 侵 检 测 与 防御 


8.1 人 侵 检 测 系统 


8.1.1 入 侵 检 测 系 统 的 概念 


随 着 网 络 的 发 展 和 应 用 的 日 益 广 泛 , 人 们 发 现 仅仅 依靠 传统 的 操作 系统 加 固 防火 墙 等 
静态 安全 防御 技术 已 经 无 法 满足 现 有 网 络 安全 的 需要 。 和 侵 检测 系统 (Intrusion Detection 
System,IDS) 作 为 一 种 积极 主动 防御 的 安全 保护 技术 ,对 各 种 被 动 保 护 技 术 起 到 了 极其 有 
益 的 补充 。 

入 侵 检 测 的 概念 最 早 由 Anderson 在 1980 年 提出 ,是 指 对 入 侵 行 为 的 发 觉 , 并 对 此 做 
出 反应 的 过 程 。 入 侵 检测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 系统 管理 员 的 
安全 管理 能 力 ( 包 括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 信息 安全 基础 结构 的 完整 性 。 
它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信息 ,查看 网 络 中 是 否 有 违反 安 
全 策略 的 行为 和 遭 到 袭击 的 迹象 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 
影响 网 络 性 能 的 情况 下 对 网 络 进行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 
保护 。 

入 侵 检 测 系 统 主要 有 以 下 的 功能 : 

(1) 监视 并 分 析 用 户 和 系统 的 活动 ; 

(2) 检查 系统 配置 和 漏洞 ; 

(3) 识别 已 知 的 攻击 行为 并 报警 ; 

(4) 异常 行为 模式 的 统计 分 析 ; 

(5) 评估 系统 关键 资源 和 数据 文件 的 完整 性 ; 

(6) 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违 反 安全 策略 的 行为 。 

入 侵 检 测 系 统 的 单独 使 用 不 能 起 到 保护 系统 和 网 络 的 作用 ,也 不 能 单独 地 防止 任何 攻 
击 。 但 它 是 整个 系统 的 主要 组 成 部 分 ,扮演 一 个 侦察 和 预警 的 角色 ,协助 管理 员 发 现 和 处 理 
已 知 攻击 和 异常 行为 。 


8.1.2 基于 主机 的 入 侵 检测 系统 


基于 主机 的 入侵 检 测 系 统 (Host-based Intrusion Detection System,HIDS) 为 早期 的 人 
侵 检 测 系 统 , 其 检测 的 目标 主要 是 主机 系统 和 系统 本 地 用 户 。 检 测 原 理 是 根据 主机 的 审计 
数据 和 系统 的 日 志 发 现 可 疑 事 件 .检测 系统 可 以 运行 在 被 检测 的 主机 或 单独 的 主机 上 ,基本 
过 程 如 图 8-1 所 示 。 

基于 主机 的 IDS 使 用 验证 记录 ,并 发 展 了 精密 的 可 迅速 做 出 响应 的 检测 技术 。 通 常 ， 
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8-1 基于 主机 系统 的 结构 


基于 主机 的 IDS 可 监 探 系统 .事件 和 Windows 下 的 安全 记录 以 及 UNIX 环境 下 的 系统 记 
录 。 当 有 文件 发 生变 化 时 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比 较 , 看 它们 是 否 匹 配 。 如 果 
匹配 ,系统 就 会 向 管理 员 报 警 并 向 别 的 目标 报告 .以 采取 措施 。 

基于 主机 的 IDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 
侵 检 测 的 一 个 常用 方法 ,是 通过 定期 检查 校 验 和 来 进行 的 ,以 便 发 现 变 化 。 许 多 系统 都 是 监 
听 端 口 的 活动 ,并 在 特定 端口 被 访问 时 向 管理 员 报 警 。 这 类 检测 方法 将 基于 网 络 的 入 侵 检 
测 的 基本 方法 融入 到 基于 主机 的 检测 环境 中 。 

基于 主机 的 入 侵 检 测 系 统 依赖 于 审计 数据 或 系统 日 志 准 确 性 和 完整 性 以 及 安全 事件 的 
定义 。 若 人 侵 者 设法 逃避 审计 或 进行 合作 入 侵 , 则 基于 主机 检测 系统 就 暴露 出 其 弱点 ,特别 
是 在 现在 的 网 络 环境 下 ,单独 地 依靠 主机 审计 信息 进行 人 侵 检测 难以 适应 网 络 安全 的 需求 。 

基于 主机 的 人 侵 检 测 系统 有 以 下 的 弱点 。 

(1) 主机 入 侵 检 测 系 统 安装 在 需要 保护 的 设备 上 ,如 当 一 个 数据 库 服务 器 要 保护 时 ,就 
要 在 服务 器 上 安装 和 人 侵 检 测 系统 ,这 会 降低 应 用 系统 的 效率 。 此 外 , 它 也 会 带 来 一 些 额 外 的 
安全 问题 ,安装 了 主机 入侵 检 测 系 统 后 ,将 安全 管理 员 本 来 无 权 访问 的 服务 器 变 成 他 可 以 访 
问 的 了 。 

(2) 主机 的 审计 信息 弱点 ,如 易 受 攻击 ,入 侵 者 可 通过 使 用 某 些 系统 特权 或 调用 比 审计 
本 身 更 低级 的 操作 来 逃避 审计 。 

(3) 主机 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 , 且 只 能 对 服务 器 的 特定 
的 用 户 、 应 用 程序 执行 动作 ,对 日 志 进 行 检测 ,所 能 检测 到 的 攻击 类 型 受到 限制 。 

(4) 主机 入 侵 检测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 ,不 能 通过 
分 析 主 机 审计 记录 来 检测 网 络 攻击 (如 域名 欺骗 、 端 口 扫描 等 )。 

(5) 全 面部 署 主机 入 侵 检测 系统 代价 较 大 ,企业 中 很 难 将 所 有 主机 用 主机 人 侵 检 测 系 
统 保护 ,只 能 选择 保护 部 分 主机 。 那 些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保护 的 盲点 ， 
入 侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 


8.1.3 基于 网 络 的 入 侵 检 测 系 统 


随 着 计算 机 网 络 技 术 的 发 展 ,单独 地 依靠 主机 审计 信息 进行 人 侵 检测 难以 适应 网 络 安 
全 的 需求 。 从 而 人 们 提出 了 基于 网 络 人 侵 检测 系统 体系 结构 ,这 种 检测 系统 根据 网 络 流量 、 
单 台 或 多 台 主 机 的 审计 数据 检测 人 侵 。 基 于 网 络 的 入 侵 检 测 系统 (Network Intrusion 
Detection System,NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 数据 包 。 对 
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每 一 个 数据 包 进 行 特征 分 析 , 如 果 数 据 包 与 系统 内 置 的 某 些 规则 吻合 ,入 侵 检测 系统 就 会 发 
出 警报 甚至 直接 切断 网 络 连接 。 目 前 ,大 部 分 人 侵 检测 系统 是 基于 网 络 的 。 

图 8-2 中 的 探测 器 由 过 滤器 、 网 络 接口 引擎 器 以 及 过 滤 规 则 决策 器 构成 ,探测 器 的 功能 
是 按 一 定 的 规则 从 网 络 上 获取 与 安全 事件 相关 的 数据 包 , 然 后 传递 给 分 析 引 擎 器 进行 安全 
分 析 判 断 。 分 析 引 擎 器 将 从 探测 器 上 接收 到 的 包 结 合 网 络 安全 数据 库 进 行 分 析 , 把 分 析 的 
结果 传递 给 配置 构造 器 。 配 置 构造 器 按 分 析 引 擎 器 的 结果 构造 出 探测 器 所 需要 的 配置 
规则 。 


安全 配置 构造 器 


网 络 安全 数据 库 


网 络 接口 


8-2 ”基于 网 络 系统 的 结构 


基于 网 络 的 IDS 已 经 广泛 成 为 安全 策略 的 实施 中 的 重要 组 件 , 它 有 许多 仅 靠 基于 主机 
的 入 侵 检 测 法 无 法 提供 的 优点 。 

(1) 平台 无 关 性 。 基 于 网 络 的 IDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 ,监视 通 
信 量 而 不 影响 服务 器 平台 的 变化 和 更 新 。 与 之 相 比 , 基 于 主机 的 系统 必须 在 特定 的 .没有 遭 
到 破坏 的 操作 系统 中 才能 正常 工作 ,生成 有 用 的 结果 。 

(2) 成 本 低 .配置 简单 。 基 于 网 络 的 IDS 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 
发 往 多 个 系统 的 网 络 通信 ,所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监测 的 点 
较 少 ,因此 对 于 一 个 公司 的 环境 来 说 ,花费 成 本 很 低 。 

(3) 检测 的 攻击 标记 标识 较 多 。 基 于 网 络 的 IDS 探测 器 检查 所 有 包 的 头 部 从 而 发 现 恶 
意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 IDS 无 法 查看 包 的 头 部 ,所 以 它 无 法 检测 到 这 一 类 型 
的 攻击 。 例 如 ,许多 来 自 于 IP 地 址 的 拒绝 服务 型 和 碎片 型 攻击 经 过 网 络 时 ,都 可 以 在 基于 
网 络 的 IDS 中 通过 实时 监测 包 流 而 被 发 现 。 

(4) 实时 性 的 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 时 ,及 时 将 
其 检测 出 来 ,并 做 出 更 快 的 通知 和 响应 ,从 而 将 入 侵 活动 对 系统 的 破坏 减 到 最 低 。 

网 络 入 侵 检 测 系 统 的 缺点 有 : 

(1) 不 适用 于 交换 的 网 络 环境 。 在 这 种 网 络 环境 下 ,IDS 的 检测 范围 存在 局 限 性 ,用 户 
需要 添加 额外 的 设备 扩大 检测 范围 。 

(2) 网 络 人 侵 检测 系统 不 适用 于 加 密 的 网 络 环境 。NIDS 一 般 不 涉及 对 加 密 数 据 包 的 
解密 工作 ,也 无 法 监视 加 密 数 据 包 的 内 容 , 特 别 是 对 加 密 病 毒 的 攻击 和 入 侵 无 能 为 力 。 目 前 
通过 加 密 通 道 的 攻击 尚 不 多 ,但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突出 。 

(3) 网 络 入 侵 检测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 普通 的 
一 些 攻 击 ,而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 
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(4) 网 络 流量 较 大 时 ,处 理 能 力 有 限 。 网 络 入 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 
析 系 统 中 。 在 一 些 系 统 中 监听 特定 的 数据 包 会 产生 大 量 的 分 析 数 据 流量 。 一 些 系统 在 实现 
时 采用 一 定 方 法 来 减少 回 传 的 数据 量 , 对 入 侵 判 断 的 决策 由 传感器 实现 ,而 中 央 控 制 台 成 为 
状态 显示 与 通信 中 心 ,不 再 作为 和 人 侵 行为 分 析 器 。 

对 于 HIDS 来 说 ,其 部 署 方式 比较 简单 ,只 需要 将 其 安装 在 需要 保护 的 主机 上 即 可 。 但 
对 于 NIDS 来 说 , 它 的 部 署 方式 就 比较 复杂 。 这 不 但 与 网 络 本 身 的 拓扑 结构 有 关 ,而且 还 与 
用 户 希 望 达 到 的 监控 目标 有 关 。 例 如 ,网 络 管理 员 希 望 监控 所 有 进入 内 部 网 络 的 数据 包 , 那 
么 在 只 有 一 个 外 部 接口 的 情况 下 ,只 需要 将 NIDS 放置 在 防火 墙 或 路 由 器 之 后 即 可 。 但 如 
果 网 络 中 存在 多 个 外 部 接口 , 则 需要 在 每 个 接口 处 放置 一 个 NIDS。 图 8-3 为 一 种 NIDS 部 
署 示 意图 。 


检测 器 3 


DMZ 


检测 器 2 
8-3 NIDS 部 署 示意 图 


(1) 检测 器 1 位 于 防火 墙 之 外 , 它 能 够 检查 所 有 到 达 和 离开 内 部 网 络 的 数据 ,包括 被 防 
火 墙 阻拦 的 数据 、 进 入 和 离开 内 部 网 络 的 数据 。 这 样 的 IDS 可 以 用 来 保护 防火 墙 \ 抵 御 拒 
绝 服务 攻击 ,以 及 用 来 在 网 络 中 产生 噪声 数据 的 工具 。 

(2) 检测 器 2 位 于 DMZ 区 , 它 负责 检查 流入 此 区 域 的 数据 ,用 来 观察 哪些 用 户 试 图 获 
得 DMZ 区 的 访问 。 

(3) 检测 器 3 位 于 防火 墙 内 , 故 只 能 监视 防火 墙 允许 通过 的 数据 和 内 部 网 络 数 据 , 它 所 
报告 的 入 侵 需 要 网 络 管理 员 立 刻 注意 和 响应 。 这 种 针对 防火 墙 内 部 接口 部 署 网 络 IDS 是 
一 种 最 佳 实践 。 

除了 放置 位 置 外 ,另外 一 个 需要 注意 的 问题 是 如 何 处 理 交 换 式 的 网 络 环境 。 在 交换 式 
的 以 太 网 中 ,由 于 交换 机 是 非 共 享 介 质 , 它 会 根据 数据 包 的 目的 MAC 地 址 将 其 发 送 到 相关 
的 端口 ,而 不 是 像 集线器 那样 向 所 有 端口 转发 数据 包 。 这 个 特点 使 得 入 侵 检 测 系 统 无 法 捕 
提 到 达 某 个 交换 机 的 所 有 数据 包 。 通 常 有 两 种 解决 方案 。 

一 种 方法 是 使 用 带 调试 端口 的 交换 机 。 在 这 种 交换 机 中 ,任何 从 其 他 端口 进出 的 数据 
包 都 可 以 从 调试 端口 处 得 到 。 现 在 已 经 有 很 多 交换 机 都 具有 此 功能 。 图 8-4 是 一 种 典型 的 
应 用 场景 ,为 了 监控 防火 墙 和 交换 机 之 间 的 网 络 数据 :将 NIDS 所 在 的 主机 的 网 卡 接 到 交换 
机 的 调试 端口 上 。 

另 一 种 方法 是 使 用 HUB. 将 HUB 放置 在 需要 被 监控 的 连接 之 间 , 这 通常 发 生 在 路 由 
器 与 交换 机 、 交 换 机 与 交换 机 以 及 服务 器 与 交换 机 之 间 。 对 于 前 一 个 例子 ,为 了 截获 防火 墙 


各 
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调试 端口 


入 侵 检 测 系统 
图 8-4 利用 交换 机 调试 端口 捕获 网 络 中 的 数据 包 


和 交换 机 之 间 的 网 络 通信 ,可 以 用 HUB 将 防火 墙 和 交换 机 连接 起 来 ,并 将 NIDS 所 在 的 主 
机 的 网 卡 连接 到 HUB 的 其 中 一 个 端口 上 。 


8.1.4 混合 型 入 侵 检 测 系 统 


基于 主机 的 IDSCHIDS) 和 基于 网 络 的 IDSCNIDS) 各 有 优 缺 点 , 且 具 有 互补 性 。NIDS 
能 够 独立 于 主机 ,不 影响 主机 性 能 ,并 且 监 控 范 围 广 ,能 够 客观 地 反映 网 络 活动 ,特别 是 能 够 
监视 到 系统 审计 的 盲区 ; 而 HIDS 能 够 更 加 精确 地 监视 系统 中 的 各 种 活动 ,不 会 因为 网 络 
流量 的 增加 而 放弃 对 网 络 行为 的 监视 ,并 且 可 以 用 于 加 密 环境 。 因 此 ,为 了 克服 两 者 的 不 足 
造成 防御 体系 的 不 全 面 ,20 世纪 90 年 代 以 后 ,许多 大 型 的 分 布 式 入 侵 检 测 系统 都 是 混合 型 
的 人 侵 检测 系统 。 混 合 型 人 侵 检测 系统 集 HIDS 和 NIDS 的 优点 于 一 身 , 即 可 以 发 现 网 络 
中 的 攻击 信息 ,也 可 以 从 系统 日 志 中 发 现 异 常情 况 , 从 而 大 大 提高 了 入 侵 检 测 系统 的 功能 。 


8.2 人 侵 响 应 


8.2.1 被 动 响 应 入 侵 检测 系统 


被 动 响应 系统 只 会 发 出 告警 通知 ,将 发 生 的 异常 情况 报告 给 管理 员 ,本 身 并 不 试图 降低 
所 造成 的 破坏 ,更 不 会 主动 地 对 攻击 者 采取 反击 行动 ,而 由 管理 员 决 定 是 否 采取 下 一 步行 
动 。 告 警 和 通知 .SNMP 陷阱 和 插件 是 两 种 常用 的 被 动 响应 技术 。 告 警 和 通知 是 最 常见 的 
被 动 响应 方式 。 入 侵 检 测 系统 一 般 提供 多 种 形式 的 告警 生成 方式 以 供 选 择 ,允许 用 户 设 置 
告警 以 适合 本 组 织 的 系统 操作 程序 规范 。 一 种 是 告警 显示 屏 ,这 是 IDS 最 常用 的 告警 和 通 
知 方式 ,这 种 告警 消息 显示 在 IDS 控制 台 上 ,或 在 由 用 户 配 置 的 其 他 系统 上 。 另 一 种 是 远 
程 通知 ,比如 短 消 息 `E-mail 等 。 这 种 方式 比较 方便 .灵活 ,对 于 管理 员 及 时 处 理 突 发 事件 
比较 有 用 。 另 一 种 被 动 响 应 方式 是 SNMP 陷阱 和 搬 件 。Internet 上 的 SNMP 陷阱 服务 接 
收 本 地 或 远程 SNMP 代理 生成 的 陷阱 消息 ,然后 将 这 些 消息 转发 给 控制 台 上 运行 的 SNMP 
管理 程序 。 为 代理 配置 了 SNMP 陷阱 服务 后 ,如 果 发 生 任何 特定 的 事件 ,都 将 生成 陷阱 消 
息 。 这 些 消息 被 发 送 到 陷阱 目标 。 有 些 IDS 可 以 与 网 络 管理 工具 一 起 使 用 , 它 能 使 用 网 络 
管理 基础 设施 来 传送 在 网 络 管理 控制 台 显 示 的 告警 和 警报 信息 , 它 依附 简单 网 络 管理 协议 
(SNMP) 的 消息 或 陷阱 作为 一 个 告警 选项 。 
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8.2.2 主动 响应 入 侵 检 测 系 统 


主动 响应 系统 可 以 分 为 两 类 : 对 被 攻击 系统 实施 控制 的 系统 和 对 攻击 系统 实施 控制 的 
系统 。 对 攻击 系统 实施 控制 比较 困难 ,主要 是 对 被 攻击 系统 实施 控制 。 主 动 响应 有 两 种 形 
式 , 一 种 是 由 用 户 驱动 的 ,一 种 是 由 系统 本 身 自动 执行 的 。 对 入 侵 者 采取 反击 行动 ,修正 系 
统 环境 和 收集 尽 可 能 多 的 信息 是 主动 响应 的 基本 手段 。 

对 入 侵 者 采取 反击 行动 是 最 主动 的 一 种 响应 方式 。 警 告 攻击 者 .跟踪 攻击 者 . 断 开 危险 
连接 和 对 攻击 者 进行 攻击 是 最 严厉 的 一 种 主动 反击 手段 ,但 这 种 响应 方式 具有 一 定 的 风险 。 
温和 的 方式 是 记录 安全 事件 .产生 报警 信息 .记录 附加 日 志和 激活 附加 入 侵 检 测 工 具 等 ,这 
种 方式 显得 不 够 主动 。 介 于 严厉 与 温和 之 间 的 手段 有 隔离 人 侵 者 IP、 禁 止 被 攻击 对 象 的 特 
定 端口 和 服务 以 及 隔离 被 攻击 对 象 等 ,这 种 方式 可 行 性 较 好 。 

修正 系统 环境 与 直接 采取 反击 相 比 ,主动 性 要 差 一 些 , 然 而 当 与 提供 调查 支持 的 响应 
合 在 一 起 时 , 却 往往 是 一 种 更 好 的 响应 方案 。 这 类 响应 aas 
擎 的 操作 特征 ,通过 插入 规则 改变 专家 系统 , 即 通 过 这 些 规则 提高 对 某 些 攻击 的 怀疑 水 平 ， 
或 增加 监视 范围 以 更 好 地 收集 信息 。 这 种 策略 其 实 是 一 种 反馈 机 制 , 即 目前 系统 处 理 过 程 
的 输出 将 用 来 调整 和 优化 下 一 个 处 理 过 程 。 

收集 额外 信息 是 主动 响应 的 第 三 种 方法 。 当 被 保护 的 系统 非常 重要 并 且 管 理 员 想 对 系 
统 的 配置 进行 改进 时 ,这 种 方法 特别 有 用 。 这 种 方法 类 似 于 蜜 缸 技术 ,以 这 种 方式 收集 的 信 
息 对 于 管理 员 对 网 络 安全 情况 进行 分 析 , 以 及 改进 系统 的 安全 防护 是 很 有 效 的 。 


8.2.3 应 急 响 应 组 


所 谓 应 急 响 应 即 “Incident Response” 或 “Emergency Response”, 通 常 指 一 个 组 织 为 了 

应 对 各 种 意外 事件 的 发 生 所 做 的 准备 以 及 在 事件 发 生 后 所 采取 的 措施 。 应 急 响 应 的 开始 是 

因为 有 "事件" 发生。 所 谓 “ 事 件 * 或 “安全 事件 ” 指 的 是 那些 影响 计算 机 系统 和 网 络 安全 的 不 

当 行 为 。 网 络 安全 事件 造成 的 损失 往往 是 巨大 的 ,而 且 往 往 是 在 很 短 的 时 间 内 造成 的 。 因 

此 ,应 对 网 络 事件 的 关键 是 速度 与 效率 。 应 急 响 应 技术 在 “事件 ”方面 的 内 容 包 括 事件 分 类 、 
事件 描述 和 事件 报告 等 。 

应 急 响应 组 是 专门 处 理 安全 事件 的 组 织 ,常用 的 名 字 是 CERT 或 CSIRT, 指 Computer 
Emergency Response Team( 计 算 机 紧急 响应 组 ) 或 Computer Security Incident Response 
Team( 计 算 机 安全 应 急 响应 组 ) ,它们 的 成 员 需 要 在 协调 能 力 和 专业 知 座 We ee 
的 水 平 。 这 是 因为 网 络 安全 事件 往往 牵连 很 广 , 不 只 是 一 个 部 门 甚至 不 只 是 一 个 领域 ; 安 
全 事件 现在 越 来 越 复杂 ,对 网 络 安全 和 计算 机 系统 了 解 不 够 或 者 经 和 
效率 。 


应 急 响应 组 织 都 必须 明确 自己 的 政策 功能 与 角色 ,明确 服务 的 对 象 并 与 之 保持 联系 ， 
在 此 基础 上 制订 适合 的 政策 ,建立 事件 报告 渠道 .应急 响应 流程 和 应 急 通 信 机 制 。 但 不 同 的 
应 急 响 应 组 织 由 于 其 角色 定位 不 同 , 其 运行 也 有 很 大 不 同 。 主 要 存在 两 类 组 织 ,一 种 是 企业 
或 单位 内 部 的 应 急 响 应 小 组 ,只 为 本 单位 服务 ,人 员 主 要 由 网 络 管理 员 和 各 部 门 中 接受 了 训 
练 的 人 员 组 成 ; 另 一 种 是 面向 区 域 的 应 急 响 应 组 织 , 比 如 CERT/CC( 美 ) 和 DFN-CERT 
( 德 )、AusCERT( 澳 ) 等 ,它们 定位 于 区 域 甚至 整个 Internet; 不 但 对 安全 事件 提供 响应 报 
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务 ,同时 进行 安全 技术 的 研究 、 安 全 形势 的 分 析 或 者 发 布 预 警 信息 等 ,它们 的 人 员 一 般 由 固 
定 全 职 人 员 ( 承 担 技术 研究 ) 和 兼职 人 员 组 成 。 但 无 论 哪 种 情况 ,应急 响应 组 至 少 都 有 协调 
能 力 .专业 知识 .响应 效率 .前 期 主动 防御 能 力 ` 适 应 需求 .联络 能 力 和 处 理 制 度 障 碍 能 力 上 
的 优势 。 

应 急 响 应 组 最 难 的 重要 问题 是 人 员 问 题 , 既 包括 管理 人 员 也 包括 技术 人 员 。 两 者 的 重 
要 性 与 两 者 合作 的 重要 性 不 言 自 明 。 管 理 人 员 的 管理 能 力 是 应 急 响 应 组 必需 的 ,他 并 不 需 
要 在 技术 上 有 多 强 。 一 个 响应 组 的 管理 要 比 它 拥有 的 技术 专家 重要 ,这 似乎 与 今天 普遍 重 
视 技 术 实力 的 情况 相反 。 但 是 事实 上 确实 如 此 ,因为 从 经 济 角 度 考虑 ,响应 组 只 需要 维护 一 
个 专家 的 联系 清单 就 足够 了 ; 技术 专家 也 可 能 更 愿意 把 精力 投入 到 他 们 认为 更 重要 的 事 
情 。 而 技术 上 日 常 的 工作 完全 可 以 交 给 普通 的 技术 人 员 。 

人 员 问 题 的 另 一 个 方面 是 沟通 与 合作 ,不 只 包括 响应 组 内 部 的 沟通 与 合作 ,还 包括 与 受 
害 者 以 及 其 他 相关 部 门 (如 法 律 机 构 ,媒体 等 ) 的 沟通 与 合作 。 这 在 响应 组 的 运转 尤其 是 响 
应 过 程 中 对 效率 问题 有 很 大 的 影响 。 


8.2.4 应 急 响 应 计划 


应 急 响 应 计划 (Emergency Response Plan,ERP) 是 指 组 织 为 了 应 对 突 发 /重大 信息 安 
全 事件 而 编制 的 ,对 包括 信息 系统 运行 在 内 的 业务 运行 进行 维持 或 恢复 的 策略 和 规程 。 

应 急 响 应 计划 与 应 急 响 应 是 相互 补充 与 促进 的 关系 。 首 先 , 应 急 响 应 计划 为 信息 安全 
事件 发 生 后 的 应 急 响 应 提供 了 指导 策略 和 规程 ,否则 ,应 急 响 应 计划 将 陷入 混乱 ,而 毫 无 章 
法 的 应 急 响 应 有 可 能 造成 比 信息 安全 事件 本 身 更 大 的 损失 。 其 次 ,应 急 响 应 可 能 发 现 事 前 
应 急 响 应 计划 的 不 足 , 从 而 吸取 教训 ,进一步 完善 应 急 响 应 计划 。 

制定 信息 安全 应 急 响 应 计划 是 一 个 周而复始 .持续 改进 的 过 程 ,包含 以 下 几 个 阶段 。 

1. 应 急 响 应 计划 的 编制 准备 

应 急 响 应 计划 的 编制 准备 是 编制 应 急 响 应 计划 文档 的 前 期 工作 ,由 风险 评估 .业务 影响 
分 析 和 制定 应 急 响 应 策略 三 个 方面 组 成 。 

风险 评估 的 目的 是 标识 信息 系统 的 资产 价值 ,识别 信息 系统 面临 自然 地 和 人 为 地 威胁 ， 
识别 信息 系统 的 脆弱 性 ,分 析 各 种 威胁 发 生 的 可 能 性 。 风 险 评估 是 业务 影响 分 析 的 基础 。 

业务 影响 分 析 (CBIA) 是 在 风险 评估 的 基础 上 分 析 各 种 信息 安全 事件 发 生 时 对 业务 功能 
可 能 产生 的 影响 ,进而 确定 应 急 响 应 的 恢复 目标 :因此 它 是 应 急 响应 计划 制定 前 期 的 一 项 重 
要 任务 。 

BIA 的 目的 是 将 特定 的 系统 组 件 与 其 提供 的 关键 服务 联系 起 来 ,并 基于 这 些 信息 了 解 
系统 部 件 中 断 所 产生 的 影响 的 特点 ,通过 BIA 估计 业务 停顿 随时 间 而 造成 的 损失 ,进而 确 
定 对 企业 而 言 比 较 合适 的 回复 时 间 目 标 。BIA 的 一 个 重要 目的 是 确定 应 急 响 应 的 恢复 目 
标 ,应急 响应 恢复 目标 包括 : 关键 业务 功能 及 恢复 的 优先 顺序 ; @ 恢 复 时 间 范 围 , 即 恢复 
时 间 目 标 (RTO) 和 恢复 点 目标 (RPO) 的 范围 。 

应 急 响 应 策略 提供 了 在 业务 中 断 、 系 统 死机 、 网 络 瘫痪 等 突 发 或 重大 信息 安全 事件 发 生 
后 快速 有 效 地 恢复 信息 系统 运行 的 方法 。 这 些 策略 应 涉及 在 BIA 中 确定 的 应 急 响 应 的 恢 
复 目 标 。 制 定 应 急 响 应 策略 主要 需要 考虑 “系统 恢复 能 力 等 级 划分 “系统 恢复 资源 的 要 
求 " 和 “费用 ”三 个 因素 。 组 织 进行 成 本 效益 分 析 , 以 确定 最 佳 应 急 响 应 策略 。 
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2. 编制 应 急 响 应 计划 文档 

编制 信息 安全 应 急 响 应 计划 文档 是 应 急 响应 规划 过 程 中 的 关键 一 步 。 应 急 响 应 计划 文档 应 
包 合意 则 、 角 色 及 职责 、 预 防 和 预 区 机制, 应 急 响应 流程 .应急 响应 保障 措施 .附件 六 个 基本 要 素 。 

总 则 提供 了 重要 的 背景 或 相关 信息 ,使 应 急 响应 计划 更 容易 理解 .实施 和 维护 。 通 常 这 
部 分 包括 编制 目的 、 编 制 依据 .适用 范围 .工作 原则 等 。 

组 织 应 结合 本 单位 日 常 机 构建 立信 息 安全 应 急 响应 的 工作 机 构 , 并 明确 其 职责 。 应 急 
响应 的 工作 机 构 由 管理 ,业务 .技术 和 行政 后 勤 等 人 员 组 成 。 一 般 来 说 , 按 角色 可 划分 为 三 
个 功能 小 组 : 应 急 响应 领导 小 组 ,应急 响应 实施 小 组 和 应 急 响 应 日 常 运行 小 组 等 。 实 际 中 ， 
可 以 不 必 专 门 成 立 对 应 的 功能 小 组 ,组 织 可 以 根据 自身 情况 由 具体 的 某 个 或 某 几 个 部 门 或 
部 门 中 的 某 几 个 人 担当 其 中 的 一 个 或 几 个 角色 。 

预防 和 预警 机 制 是 一 种 防御 性 的 方法 ,在 可 行 和 比较 划算 后 ,防御 性 方法 要 比 信息 安 全 
事件 发 生 后 进行 应 急 要 更 好 。 有 很 多 防御 性 控制 措施 可 供 选 择 , 它 依赖 于 信息 系统 的 类 型 
和 配置 。 

应 急 响 应 流程 描述 并 规定 了 信息 安全 事件 发 生 后 应 采取 的 工作 流程 和 相应 条 款 ,目的 
avast 

急 响 应 保障 措施 是 信息 安全 应 急 响 应 计划 的 主要 组 成 部 分 ,是 保证 信息 安全 事件 发 
tr pear ht 考虑 到 各 个 组 织 的 性 质 和 需求 可 能 存 
在 很 大 的 差异 ,标准 中 描述 的 具体 内 容 是 可 选择 的 ,也 可 以 做 适当 调整 ,但 人 力 保障 、 物 质保 
障 和 技术 保障 这 三 大 方面 是 必要 的 。 

3. 应 急 响 应 计划 测试 .培训 、 演 练 和 维护 

为 了 检验 应 急 响 应 计划 的 有 效 性 ,同时 使 相关 人 员 了 解 信息 安全 应 急 响应 计划 的 目标 
和 流程 ,熟悉 应 急 响应 的 操作 规程 ,组 织 还 应 按照 一 定 的 要 求 对 应 急 响 应 计划 进行 测试 、 培 
训 、 演 练 和 维护 。 

计划 的 测试 是 有 效 的 应 急 响应 计划 的 关键 要 素 。 测 试 能 确定 和 解决 计划 的 缺陷 ,并 协 
助 评估 和 应 急 人 员 快 速 有 效 实施 应 急 响 应 计划 。 每 一 个 信息 安全 应 急 响 应 计划 要 素 都 应 得 
到 测试 ,以 确保 各 个 恢复 规程 的 正确 性 和 计划 整体 的 有 效 性 。 

aa 培训 至 少 每 年 举办 一 次 ,拥有 计划 规定 职责 的 新 雇员 应 
该 在 被 雇佣 后 接受 短期 培训 。 和 应 急 响应 计划 相关 的 人 员 所 接受 的 培训 最 终 使 得 他 们 能 够 
ee ne 的 恢复 规程 。 这 在 信息 安全 事件 影响 造成 的 最 初 几 个 
小 时 里 未 获得 书面 或 电子 版 本 的 应 急 响 应 计划 的 情况 具有 非常 重要 的 意义 。 

计划 的 演练 对 小 组 成 员 来 说 是 有 益 的 ,这 样 可 以 使 他 们 做 好 精神 准备 并 有 时 间 对 工作 
负荷 进行 优化 调整 。 

由 于 业务 需要 的 转移 .技术 的 更 新 或 新 的 内 外 政策 会 造成 信息 系统 的 频繁 变化 ,应急 响 
应 计划 的 定期 检查 和 更 新 是 至 关 重 要 的 ,应 作为 机 构 变 化 管理 过 程 的 一 部 分 以 确保 新 的 信 
息 能 够 被 添加 进来 ,应急 响应 措施 能 够 根据 需要 被 修订 。 计 划 应 该 至 少 每 年 进行 一 次 针对 
正确 性 和 完整 性 的 检查 ,在 计划 的 任何 部 分 发 生 重 大 变化 时 也 应 该 进行 ,这 是 一 项 基本 要 
求 。 某 些 部 分 应 该 得 到 频繁 的 检查 ,如 联络 清单 。 根 据 信 息 系统 类 型 和 重要 程度 的 不 同 , 对 
计划 内 容 和 规程 的 评估 可 能 会 更 加 频繁 。 
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8.3 人 侵 检 测 的 分 析 技 术 


1. 异常 检测 

异常 检测 技术 也 称 为 基于 行为 的 检测 技术 ,是 根据 用 户 的 行为 和 系统 资源 的 使 用 状况 
判断 是 否 存在 网 络 和 人 侵 。 异常 检测 基于 一 个 假设 , 即 入 侵 行 为 存在 于 偏离 系统 正常 使 用 的 
事件 中 ,异常 检测 就 是 要 找 出 偏离 正常 行为 的 事件 ,并 从 中 发 现 入 侵 。 通 过 将 过 去 观察 到 的 
正常 行为 与 受到 攻击 时 的 行为 加 以 比较 ,根据 使 用 者 的 异常 行为 或 资源 的 异常 使 用 状况 来 
判断 是 否 发 生 入 侵 活动 ,其 原则 是 任何 与 已 知行 为 模型 不 符合 的 行为 都 认为 是 入 侵 行 为 。 

异常 检测 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 。 这 种 活动 存在 4 种 可 能 : 入 侵 
性 而 非 异常 . 非 入 侵 性 且 异 常 、 非 入 侵 性 且 非 异常 .入 侵 且 异常 。 异常 检测 一 般 先 建立 用 户 
正常 行为 的 模型 ,再 将 实际 观察 到 的 行为 与 之 相 比 较 , 检 测 与 正常 行为 偏差 较 大 的 行为 。 因 
此 ,如 果 能 够 建立 系统 正常 运行 的 轨迹 ,那么 理论 上 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 
视 为 可 疑 企 图 。 模 型 如 图 8-5 所 示 。 


正常 行为 描述 库 


动态 产生 新 描述 动态 更 新 描述 


匹配 规则 CCQ») 


异常 检测 


日 志 数 据 


8-5 异常 检测 模型 


根据 这 一 理念 ,异常 检测 方法 通过 异常 监视 器 观察 主体 活动 ,建立 主体 正常 活动 的 “ 活 
动 轮廓 ”, 将 当前 主体 的 活动 状况 与 已 存储 的 “活动 轮廓 ” 相 比 较 ,检测 “入 侵 " 行 为 。 

异常 检测 的 优点 是 ,与 系统 相对 无 关 , 通 用 性 比较 强 , 易 于 实现 ,易于 自动 更 新 ,可 以 发 
现 未 知 的 入 侵 行为 ,同时 有 一 定 的 学 习 能 力 。 但 单纯 的 统计 异常 检测 方法 对 时 间 发 生 的 次 
序 不 够 敏感 , 误 报 、 虚 报 率 较 高 ,对 没有 统计 特征 的 攻击 方法 难以 检测 。 

异常 检测 的 难题 在 于 如 何 建立 系统 正常 行为 的 “活动 轮廓 ”以 及 如 何 设计 统计 算法 , 基 
于 异常 的 入 侵 检测 系统 通过 构造 不 同 的 异常 模型 来 实现 不 同 的 检测 方法 ,使 用 观测 到 的 一 
组 测量 值 偏离 度 来 预测 用 户 行为 的 变化 而 做 出 决策 判断 。 目 前 基于 异常 的 入 侵 检 测 系统 主 
要 采用 的 技术 有 统计 分 析 、` 贝 叶 斯 推理 、 神 经 网 络 和 数据 挖掘 等 方法 。 

2. 误 用 检测 

误 用 检测 技术 也 称 为 基于 知识 的 检测 或 基于 特征 的 检测 。 误 用 检测 假设 所 有 入 侵 的 行 
为 或 手段 及 其 变种 都 能 表达 为 一 种 模式 或 特征 。 误 用 检测 技术 通过 对 已 知 的 入 侵 行为 和 手 
段 进行 分 析 , 提 取 检 测 特征 ,构建 攻击 模式 或 攻击 签名 。 检 测 时 ,主要 判别 主机 或 者 网 络 中 
所 搜集 到 的 数据 特征 是 否 匹 配 所 收集 的 特征 库 中 的 一 种 ,以 此 判断 是 否 有 入 侵 行为 。 
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基于 误 用 检测 的 入 侵 检测 技术 通过 收集 入 侵 攻 击 和 系统 缺陷 的 相关 知识 来 构成 人 侵 检 
测 系 统 中 的 知识 库 , 然 后 利用 这 些 知识 寻找 那些 企图 利用 这 些 系 统 缺 陷 的 攻击 行为 。 也 就 
是 说 基于 误 用 检测 的 入 侵 检测 技术 是 通过 检测 那些 与 已 知 的 入 侵 行为 模式 类 似 的 行为 或 间 
接地 违背 系统 安全 规则 的 行为 来 判断 是 否 有 入 侵 活 动 。 系 统 中 的 任何 不 能 确认 是 攻击 的 行 
为 都 被 认为 是 系统 的 正常 行为 。 

基于 误 用 的 入 侵 检 测 技术 具有 良好 的 精确 度 , 误 报 率 较 低 , 但 其 检测 依赖 于 对 入 侵 攻 击 
和 系统 缺陷 相关 知识 的 不 断 更 新 和 补充 ,因此 不 能 检测 未 知 的 入 侵 行为 。 误 用 检测 的 关键 
是 如 何 表 达 入 侵 行为 .构建 攻击 模式 ,把 真正 的 入 侵 与 正常 行为 区 分 开 , 以 及 检测 过 程 中 的 
推理 模型 。 在 具体 实现 上 ,基于 误 用 检测 的 IDS 知识 在 表示 入 侵 模式 的 方式 以 及 在 系统 的 
审计 入 侵 模 式 的 机 制 上 有 所 不 同 。 误 用 检测 的 主要 实现 技术 有 专家 系统 状态 转换 分 析 、 模 
式 匹配 等 。 


8.4 人 侵 检 测 系统 的 结构 与 部 署 


1. 入 侵 检 测 系 统 的 结构 

为 了 提高 IDS 产品 ,组件 以 及 与 其 他 安全 产品 之 间 的 互 操作 性 ,美国 国防 高 级 研究 计 
划 署 与 Internet 工程 任务 组 的 入侵 检测 工程 组 (IDWG) 发 起 制定 了 一 系列 建议 草案 ,从 体 
系 结构 .API. 通 信和 机制 .语言 格式 等 方面 规范 IDS 的 标准 ,提出 了 通用 入 侵 检 测 框架 
(Common Intrusion Detection Framework ,CIDF) 。 

CIDF 阐述 了 一 个 入 侵 检测 系统 的 通用 模型 ,其 结构 如 图 8-6 所 示 。 它 将 一 个 入 侵 检测 
系统 分 为 以 下 组 件 : 事件 产生 器 (event generators) .事件 分 析 器 (event analyzers)、 响 应 单 
元 (response units) ,事件 数据 库 (event databases) 。 


事件 产生 器 | 一 一 | 事件 分 析 器 | 一 一 | ”响应 单元 


事件 数据 库 


8-6 CIDF 体系 结构 


CIDF 将 需要 分 析 的 信息 称 为 事件 , 它 既 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 系统 日 志 
等 其 他 途径 得 到 的 信息 。 事 件 产 生 器 一 般 分 布 于 网 络 的 各 个 敏感 关节 点 处 或 某 个 主机 上 ， 
它 从 整个 网 络 环境 中 获得 事件 .并 向 系统 的 其 他 部 分 提供 事件 。 

事件 分 析 器 分 析 所 得 到 的 数据 并 提取 其 有 效 特征 (如 网 络 流 、 数 据 包 报 头 、 数 据 包 序列 、 
日 志文 件 参数 .审计 数据 间 的 关系 等 ) 以 产生 分 析 结果 ,判断 是 否 属于 攻击 事件 。 事 件 分 析 
器 性 能 的 优 劣 决定 了 入 侵 检 测 系统 性 能 的 高 低 。 

一 旦 检测 到 攻击 ,事件 分 析 器 会 通知 响应 单元 ,后 者 做 出 反应 ,如 终止 进程 .切断 连接 、 
改变 防火 墙 规则 修改 文件 属性 等 。 事 件数 据 库 用 于 存储 和 管理 事件 数据 , 它 可 以 是 复杂 的 
数据 库 , 也 可 以 是 简单 的 文本 文件 。 
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2. 分 布 式 的 入 侵 检测 系统 

随 着 网 络 系统 结构 的 复杂 化 和 大 型 化 ,出 现 了 许多 新 的 入 侵 检 测 问题 ,下面 列举 几 个 。 

首先 ,系统 的 弱点 或 漏洞 分 散在 网 络 中 的 各 个 主机 上 ,这 些 弱 点 问题 可 能 被 入 侵 者 一 起 
用 来 攻击 网 络 , 而 仅 依靠 一 个 主机 或 网 络 入 侵 检 测 系 统 难 以 发 现 入 侵 行为 ; 

第 二 ,网 络 入 侵 行为 不 再 是 单一 的 行为 ,而 是 表现 出 相互 协作 的 入 侵 特点 ,例如 ,分 布 式 
拒绝 服务 攻击 ; 

第 三 ,入 侵 检 测 系 统 所 依靠 的 数据 来 源 分 散 化 ,使 得 收集 原始 的 检测 数据 变 得 比较 困 
难 , 例 如 交换 型 网 络 使 得 监听 网 络 数据 包 受 到 限制 ; 

第 四 ,网 络 速度 传输 加 快 ,网 络 的 流量 大 ,原始 数据 的 集中 处 理 方式 往往 造成 检测 瓶颈 ， 
从 而 导致 漏 检 ，。 

因此 ,产生 了 分 布 式 人 侵 检 测 系 统 ,分 布 式 IDS 的 目标 是 既 能 检测 网 络 人 侵 行为 ,又 能 
检测 主机 的 和 人 侵 行为 。 系 统 通常 由 数据 采集 模块 ,通信 传输 模块 .人 侵 检 测 分 析 模块 .响应 
处 理 模块 ,管理 中 心 模块 和 安全 知识 库 组 成 。 这 些 模块 可 根据 不 同情 况 进行 组 合 , 例 如 数据 
采集 模块 和 通信 模块 组 合 产生 出 的 新 模块 就 能 完成 数据 采集 和 传输 两 种 任务 。 所 有 的 这 些 
模块 组 合 起 来 就 变 成 了 一 个 人 侵 检 测 系统 。 需 要 指出 的 是 ,模块 按照 网 络 配置 情况 和 检测 
的 需要 可 以 安装 在 单独 的 一 台 主 机 上 或 者 分 散在 网 络 的 不 同位 置 ,甚至 一 些 模块 本 身 就 能 
够 单独 地 检测 本 地 的 入 侵 , 同 时 将 入 侵 检 测 的 局 部 结果 信息 提供 给 入 侵 检测 管理 中 心 。 

1991 年 ,加 州 大 学 戴 维 斯 分 校 的 研究 人 员 提 出 了 分 布 式 入 侵 检测 系统 的 概念 ,将 以 往 
基于 主机 和 网 络 的 入 侵 检测 系统 结合 起 来 ,给 出 了 一 种 分 布 式 入 侵 检 测 系 统 的 体系 结构 。 
如 图 8-7 所 示 ,整个 系统 包括 三 个 大 部 分 ,位 于 每 台 监 控 主 机 上 的 入 侵 传 感 器 ,局 域 网 上 的 
局 域 网 管理 器 和 中 央 数 据 处 理 单元 。 主 机 上 的 入 侵 传感器 和 局 域 网 管理 器 分 别 从 主机 和 局 
域 网 上 采集 有 用 数据 ,然后 将 数据 送 至 中 央 数 据 处 理 单元 做 全 局 的 入 侵 检 测 。 这 个 体系 结 
构 侧 重 于 网 络 - 用 户 识 别 问题 的 解决 , 即 通 过 跟踪 用 户 在 网 络 上 的 活动 情况 ,计算 用 户 操 作 
的 相关 性 来 判断 是 否 有 入 侵 行 为 发 生 。 这 个 体系 结构 运用 范围 较 小 ,而 且 由 于 模型 过 于 简 
单 ,无 法 检测 复杂 的 入侵 行为 。 要 使 系统 具有 更 强 的 检测 能 力 , 需 要 进一步 完善 系统 体系 结 
构 和 检测 模型 。 
传感器 


传感器 a 
中 央 数 据 处 理 单元 
局 域 网 管理 器 
E 机 数据 ee 


传感器 传感器 
图 8-7 早期 的 分 布 式 入 侵 检 测 模型 
在 人 侵 检 测 的 体系 结构 中 ,哥伦比亚 大 学 和 北 卡 罗 来 州立 大 学 的 研究 人 员 在 2000 年 提 
出 了 基于 数据 挖掘 的 模型 建立 方法 。 该 方法 将 各 个 传感器 搜集 到 的 数据 放 入 数据 库 , 利 用 数 
据 挖掘 的 方法 提取 出 有 效 信息 , 自 适应 地 建立 检测 模型 ,该 系统 的 体系 结构 如 图 8-8 所 示 。 
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原始 数据 


格式 化 数据 


自 适 应 模型 
产生 器 


图 8-8 改进 的 入 侵 检测 模型 示意 图 


该 系统 由 传感器 .探测 器 .数据 仓库 和 自 适应 模型 产生 器 四 个 主要 部 件 构成 。 传 感 器 接 
收 从 网 络 或 者 主机 来 的 原始 数据 ,从 原始 数据 中 提取 事件 ,并 按照 预定 的 格式 将 数据 发 送 给 
检测 器 和 数据 仓库 。 检 测 器 接收 从 传感器 发 送 来 的 数据 ,并 将 这 些 数 据 与 已 有 的 入 侵 模 型 
进行 匹配 ,判断 是 否 有 入 侵 行为 发 生 。 数 据 仓 库 则 存放 格式 化 的 数据 和 已 有 的 模型 。 模 型 
产生 器 从 数据 仓库 中 获取 数据 ,按照 这 些 数据 自 适应 地 建立 或 调整 检测 模型 ,并 将 模型 存放 
到 数据 仓库 中 。 该 模型 的 特点 是 ,各 模块 之 间 采 用 统一 的 数据 格式 通信 ,使 得 获取 原始 数据 
有 很 大 的 灵活 性 。 原 始 数 据 可 以 来 自主 机 ,也 可 以 来 自 网 络 。 其 次 ,模块 独立 , 且 模 块 具有 
自 适应 性 。 但 是 ,由 于 格式 化 的 数据 都 存放 在 数据 仓库 中 ,并 有 单独 的 模型 产生 器 读 取 数 
据 ,建立 、 修 改 模型 ,所 以 扩展 性 较 差 。 


8.5 人 侵 检 测 系 统 Snort 


8.5.1 Snort 概述 


Snort 是 一 款 免 费 的 基于 Libpcap 的 轻 量 级 网 络 入 侵 检测 系统 。 它 具有 易于 配置 检测 
效率 高 的 特点 。Snort 具有 实时 的 流量 分 析 和 IP 数据 包 日 志 分 析 能 力 ,能 够 对 协议 进行 分 
析 或 对 内 容 进行 实时 搜索 。Snort 能 够 检测 不 同 的 攻击 行为 ,如 缓冲 区 溢出 攻击 、 端 口 扫 
描 、 拒 绝 服务 攻击 等 .并 实时 地 报警 。 

Snort 的 安装 和 配置 有 两 种 选择 .一 种 是 只 安装 Snort, 另 一 种 是 安装 Snort 的 同时 安装 
其 他 的 工具 软件 ,从 而 搭建 一 个 完整 的 Snort 系统 。 在 第 一 种 的 安装 方式 下 ,Snort 会 将 捕 
捉 到 的 入 侵 检 测 数据 以 文本 或 二 进 制 的 形式 保存 在 文件 中 .同时 将 生成 的 警告 信息 发 送 到 
SNMP 管理 器 ,这 种 方式 使 得 用 户 面 对 大 量 的 日 志和 警告 信息 。 第 二 种 方式 ,用 户 不 但 可 
以 将 和 人 侵 检测 数据 保存 到 数据 库 中 ,而 且 可 以 利用 工具 对 入 侵 检测 的 数据 进行 分 析 。 


8.5.2 搭建 Windows 入 侵 检 测 平 台 


下 面 介 绍 搭建 Windows 入 侵 检 测 平台 用 到 的 软件 及 其 版 本 。 
(1) pache_2. 0. 63_win32(Windows 版 本 的 apache Web 服务 器 ) ,用 作 Web 服务 器 。 
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(2) PHP_4. 3. 2_win32 ,作为 Web 服务 器 和 MySQL 数据库 之 间 的 接口 。 

(3) snort_2. 0.0_win32 ,人 侵 检 测 软 件 Snort 。 

(4) mysql_4. 0. 23_win32 ,用 来 存放 Snort 产生 的 警告 信息 ,也 可 以 使 用 Oracle 等 数 
据 库 。 

(5) adodb465，ACID 用 来 连接 MySQL 数据 库 。 

(6) acid_0. 9. 6b23 是 一 个 用 PHP 编写 的 软件 包 , 用 来 查看 和 分 析 Snort 产生 的 入 侵 
检测 数据 。 

(7) jpgraph_1. 26 用 于 生成 Snort 产生 的 入 侵 检测 数据 的 统计 图 形 。 

(8) winpcap_3. 2, 用 于 信息 包 捕 获 和 网 络 分 析 , 安 装 Snort 所 必需 的 软件 包 。 

下 面 介绍 其 具体 步骤 。 

1. 安装 apache_2. 0. 63 For Windows 

(1) 双击 apache_2. 0. 63 安装 包 , 安 装 程序 默认 安装 至 C: \Program Files\Apache 
Group 目录 。 

如 果 主 机 已 经 安装 了 IIS, 并 启动 了 WebServer, 由 于 IIS WebServer 与 Apache 
WebServer 都 默认 在 TCP80 端口 监听 ,所 以 会 和 Apache WebServer 冲突 。 解 决 方法 是 , 停 
止 IIS 工作 或 修改 Apache WebServer 的 默认 端口 。 修 改 Apache WebServer 的 监听 端口 为 
18080 ,打开 Apache 的 配置 文件 C: 和 Program Files\Apache Group\Apache2\conf\httpd. 
conf ,将 Listen 80 改 为 Listen 108080 ,如 图 8-9 所 示 。 

116 # Change this to Listen on specific IP addresses as shown below to 
117 # prevent Apache from glomming onto all bound IP addresses (0.0.0.0) 
118 # 


119 #Listen 12.34.56.78:80 
120 Listen 18080 


8-9 ”修改 Apache WebServer 的 监听 端口 


(2) 安装 Apache 为 服务 方式 运行 : 运行 命令 C: \Program Files\Apache Group\ 
Apache2\bin\apache-k-install, 而 且 apache_2. 0. 63 提供 了 图 形 界面 支持 ,方便 启动 和 关闭 
Apache 服务 ,如 图 8-10 所 示 。 


Apache Servwice Nonitor 


Service Status : 


加 
如 


Bestart 


由 


Apache/2.0.63 (Win32) PHF/4.3.2 


图 8-10 “Apache 服务 
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(3) 检验 Apache 安装 成 功 : 在 浏览 器 中 输入 http: //127. 0. 0. 


1: 18080, 若 能 看 到 
图 8-11 所 示 的 信息 , 则 说 明 Apache 安装 成 功 。 


加 安装 Apache 的 测试 页 面 - Microsoft Internet Explorer 


| 文件 (E) 编辑 (E) 收藏 多” 工具 四 和 有 Hb) 


ES | 
| 史 司 “二 国 罩 人 千 | 罗 过 加 对 Pw | 国志 四 过 
[ike) [€] etp:t/127.0,0.1:16080/ 


您 能 看 见 这 个 页 面 ， 说 明 &pache web server 已经 安装 成 功 。 您 可 以 在 这 个 目录 中 增加 内 容 ， 或 者 把 这 个 页 面 替换 掉 。 


这 不 是 你 想 看 见 的 页 面 吧 ? 


之 所 以 会 看 见 这 个 页 面 ， 是 因为 网 站 管理 员 改 变 了 这 个 站 点 的 设置 。 如 果 有 疑问 ， 请 咨询 维护 此 站 点 的 人 员 。 Apache 软 件 基金 会 ， 即 此 站 
点 所 使 用 钓 网 站 服务 器 软件 的 开发 者 ， 不 负责 此 站 点 的 维护 工作 ， 也 无 法 为 您 解决 设置 上 的 问题 。 


Apache 文档 已 经 包含 在 此 发 行 版 中 。 
您 可 以 在 使 用 Apache 的 网 站 服务 器 上 ， 自 由 地 使 用 下 面 的 图 片 。 感 谢 使 用 Apachel 


B44 I 


8-11 检验 Apache 安装 成 功 
(4) 添加 Apache 对 PHP 的 支持 。 
Oa@ 解压 缩 php-4. 3. 2-win32. zip 至 c: \php; 
@ 复制 php4ts. dll 至 操作 系统 目录 c: \windows\system32; 
@) 将 c:\ php\php. ini-dist 改名 为 php. ini, 并 且 复 制 到 操作 系统 目录 c: \windows\ 


system32; 


由 修改 c:\ php\php. ini, 将 文件 php. ini 中 的 extention 一 php_gb2. dll 的 注释 “;” 去 
掉 , 以 添加 对 gb 图 形 库 的 支持 ,如 图 8-12 所 示 。 
(5) 启动 Apache 服务 : 运行 net start apache2 命令 ,如 图 8-13 所 示 。 


544 ;extension = php_fdf.d1l 
545 ;extension = php_filepro. dll 


C: Ynet start apache2 


546 extension = php_gd2. dl1 


Se 
547 ;extension = php gettext. dl1 | 济 刍 入 RET nLemea 2102 以 


8-12 ”添加 Apache 对 PHP 的 支持 8-13 ”启动 Apache 服务 


(6) 测试 Apache 对 php 的 支持 已 经 成 功 安装 : 在 C: \Program Files\Apache Group\ 
Apache2\htdocs 目录 下 建立 test. php 文件 .文件 的 内 容 如 图 8-14 所 示 。 


在 浏览 器 中 输入 http: //127. 0. 0. 1: 18080/test. php, 如 图 8-15 所 示 , 说 明成 功 安 装 
了 Apache 对 php 的 支持 。 


| UltraEdit - [C:\Program Files\Apache Group\Apache2\ 


过 3) 括 
EBA | 
[httpd.conf | php.ini | test.php 


一 寺 CD ec 
Ff | Ri [| 1 <? Phpinfo (23> 
D East 


图 8-14 测试 Apache 对 php 的 支持 已 经 成 功 安装 
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phpinfo() - Wicrosoft Internet Explorer 


文件 辆 辑 下 ) 查看 收 京 和 ) 工具 I 帮助 中 
@@ 硬 -加 -上 国 国 但 用 时 去 sex 加 富生 可 - 占 


地 址 名 | 蜀 http:77127.0.0.1:180e0ytest_ ph 


E> EEN: ” 
Googie| 8 SE- 芒 - 它 窒 - 辐 关 本 区 到 8- 二 - 国 革 - 


El 


Registered PHP Streams php, http, ftp, comoress.zib 
Ths program makes use of the Zend Scripting Language Engne: 
Zend Engine v1.3.0, Copyright (c) 1998-2003 Zend Technologles yp 
] 


8-15 ”成 功 安装 Apache 对 php 的 支持 


2. 安装 Snort 2.0.0 与 winpcap 

直接 双击 Snort 2. 0. 0. exe 文件 ,将 默认 安装 Snort 到 C: \snort(Snort 的 新 版 本 的 规 
则 库 现 在 已 经 收费 ) 。 

3. 安装 .配置 MySQL 数据 库 

(1) 默认 安装 mySQL 4. 0. 23 for windows 至 C: \mysql。 

(2) 安装 MySQL 为 服务 方式 运行 。 

运行 命令 : C: \mysql\bin\mysqld-nt-install, 如 图 8-16 所 示 。 

(3) 启动 MySQL 服务 。 

运行 命令 : net start mysql, 如 图 8-17 所 示 。 


C: nysql\bin>mysqld-nt ~install 


Service successfully installed- 


8-16 ”安装 MySQL 8-17 启动 MySQL 服务 


(4) 为 root 用 户 配 置 口令 。 

首先 ,以 root 用 户 登 录 数 据 库 mysql( 运 行 命令 mysql-u root-p, 出 现 Enter password: 
提示 符 直接 回 车 ,初始 时 默认 root 用 户 无 密码 登录 数据 库 ) ,运行 命令 set password for 
"root"@"localhost" 三 password('123'); ,如 图 8-18 所 示 。 

需要 注意 的 是 ,需要 输入 “;”,MySQL 才 会 编译 此 命令 。 
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Commands end uith 3 or \g- 
four MySQL connection id is 2 to server version: 4- 昌 -23-nt 


Type ’help;’ or ’\h’ for help. Type ’\c’ to clear the buffer. 


Inysql> set password for "root"B"localhost” - passwordC’123’ ); 
Query OK. B rows affected 《B-BB sec> 


Inysql> ~ 


图 8-18 为 root 用 户 配 置 口令 


(5) 建立 Snort 运行 必须 用 到 的 Snort 数据 库 和 Snort_archive 数据 库 。 
Q@ 运行 命令 mysql 之 create database snort; 

mysql 二 create database snort_archive; ,如 图 8-19 所 示 

此 时 可 以 利用 命令 show databases; 查看 两 个 数据 库 是 否 已 建立 成 功 : 
,如 图 8-20 所 


mysql>show database; 


Inysql> show databases; 


Inysql> create database snort; 1 snort 


! 
jQuery OK, 1 row affected 《8-B1 sec》 1 snort_archive } 
Inysql> create database snort_archives 

Query 0K- 1 row affected 9.69 sec》> 4 rows in set (0.02 sec?> 


8-19 建立 Snort 数据 库 和 Snort_archive 数据 库 8-20 查看 两 个 数据 库 是 否 已 建立 成 功 
@ 建立 snort 运行 所 必需 的 数据 表 
首先 输入 quit 退出 mysql, 在 出 现 的 提示 符 后 输入 命令 : 
c:\mysql\bin> mysql -D snort -uroot -p<c:\snort\contrib\create mysql 


c: \mysql\bin>mysql-D snort_archive -u root -p : \snort\contrib\create_mysql, 


如 图 8-21 所 示 。 


lc: nysql\bin>mnysql -D snort -u root -p < c:\snort\contrib\create_mysql 
Enter password: sxx 


IC: nysql\bin>nysql -D snort_archive -~u root -p< c:\snort\contrib\create_mysql 
IEnter password: xxx 


lc: nysql\bin> 


图 8-21 建立 snort 运行 所 必需 的 数据 表 


(6) 建立 acid 和 Snort 用 户 : 运行 mysql -u root -p, 以 root 用户 身份 登录 MySQL 数 
据 库 ,当然 此 时 需要 输入 password: 123 ,输入 下 面 的 命令 建立 acid 和 snort 用 户 ,如 图 8-22 


所 示 。 


mysql > grant usage on *. x to "acid"@"localhost" identified by "acid123"; 


mysql > grant usage on *. * to "snort"@"localhost" identified by "snort123"; 
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IC: nysql\bin nysql -~u root -Pp 

Enter password: sxx 

We lcone to the MySQL monitor. Conmands end with ; or \g- 
our MySQL connection ia is 5 to server version: 4.8.23-—nt 


IIype ’help;’ or ’\h’ for help. Type ’\c’ to clear the huffer. 


nysql> grant usage on *.* to “acid"@"localhost" identified by "acid123"; 
Query oK- @ rows affected 《B-B6 sec) 


Inysql> grant usage on *.* to "snort"B"localhost" identified by "snort123™"; 
lQuery OK. @ rows affected (8.80 sec)》 


图 8-22 ”建立 acid 和 Snort 用 户 


(7) 赋 


全 用 于 acid 和 snort 相应 的 权限 。 


mysql > grant select, insert, update, delete, create,alter on snort . * to "acid"@"localhost"; 


mysql > grant select, insert on snort . * to "snort"(@"localhost"; 


mysql > grant select, insert, update, delete, create,alter on snort . * to "acid"@"localhost"; 


如 图 8-23 所 示 : 
Inysql> grant select,insert.update.delete,create.alter on snort-x to "vacidve"local 


lQuery OK. @ rows affected ‘0.80 sec> 


Inysql> grant select,insert on snort.* to "snort"@"locahost"; 
lQuery OK, @ rows affected 0.80 sec> 


Inysql> grant select,insert.update.delete,.create.alter on snort.* to “acid"e"local 


lQuery OK,. @ rows affected 《0.80 sec> 


8-23 ” 赋 给 用 于 acid 和 snort 相应 的 权限 


4. 安装 adodb 

解压 缩 adodb464 至 C: \php\adodb 目录 下 

5. 安装 acid 

(1) 解压 缩 acid-0. 9. 6b23. tar. gz 至 C: \Program Files\ Apache Group\Apache2\ 
htdocsNacid 目录 下 。 

(2) 修改 acid 的 配置 文件 acid_config. php: 


S$SDBlib_path = "c:\php5\adodb"; 
$alert dbname = "snort"; 
S$alert_host = "localhost"; 

S$alert port = "3306"; 

S$alert user = "acid"; 

S$alert password = "acid123"; 

/* Archive DB connection parameters */ 
$archive_ dbname = "snort archive"; 
$archive_host = "localhost"; 
$archive port = "3306"; 

$archive user = "acid"; 

$archive password = "acid123"; 


$ChartLib path = "c:\php5\jpgraph\src"; 


(3) 在 浏览 器 下 输入 http: 127. 0. 0. 1: 18080/acid/acid _ db _setup. php, 出现 
图 8-24。 
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注重) 查看 ) 收 产 人 工具 CD) 帮助 0_ 


@ 名 -日 - 国 国人 的 | 户 sr 次 tex 因 | 全 -瑟瑟 : 口 


地 址 加 ) | 条 http: /1/127.0.0.1:18080/acid/acid_db_setap. php 间 贺 闻 到 :外 本 ”> 
Goagle| 8 -spache weid ETI 邓 - 国 寺 对- 
Home 
DB Setup Search AG Maintenal 
[Back ] 
ACID tables Adds tables to extend the Srort DB to support the ACID functionality Create ACID AG 
Search Indexes DONE 


(Optional) Adds indexes to the Snort DB to optimize the speed ofthe queries 


[Loaded in 0 seconds] 


Roman Danyliw AirCERT 


8-24 输入 http: //127. 0. 0.1: 18080/acid/acid_db_setup. php 


按照 提示 ,建立 acid 运行 必需 的 数据 库 , 如 图 8-25 所 示 。 


DB Sntwp ~ Microsoft Intornet Explorer 


名 下 ) ”查看 QV) 收藏 ] 帮助 [3 

四 二 轩 - 国 国 从 用 且 讽 *zx 加 了 -党 回国 

地 址 加 ) | 圈 http://127 0.0.1;18080/ scid/ scid_db_setup. shp 司 回 # 到 :isE ” 

Google| 8 -msche seid E 当下 M- 范 - 安 得- 国 笔 本 区 查找 - 加 - 国 半 录 - 
加 


Acp DB Set 


Successfully created ‘acid_ag' 
Succassfully created acid_ag_alert 
Successfully created acid_ip_cache 


Successfully created acid_event 


ACID tables Adds tables to extend the Snort DB to support the ACID functionality 


Soarsh da 的 (Options) Adds indexes to the Snort DB to optimize the speed of the queries 


The underlying Alert DB is configured for usage with ACID. 


Additional DB permissions 
In order to support Alert purging (the selective ability to permanently delete alerts from the database) ard DNS/whois lookup caching, the DB user "acid" 
must have the DELETE and UPDATE privilege on the database "snor@localhost” 


Goto the Main page to use the application. | 


8-25 ”建立 acid 运行 必需 的 数据 库 


6. 安装 jpgraph-1. 26. tar. gz 


解压 缩 jpgraph-1. 26. tar. gz 至 C: \php\jpgraph; 修改 C: \php\jpgraph\src 下 的 文件 
jpgraph. php 文件 ,去 掉 语 句 #DEFINE(“*CACHE_DIR”,“/tmp/jpgraph_cache”) 的 注释 *;”。 
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7. 配置 Snort 

编辑 C: \snort\etc\snort. conf ,进行 如 下 修改 。 

(1)“var RULE_PATH../rules” 修 改 为 C: /snort/rules( 配 置 rules 的 绝对 路 径 ) 。 

(2) 将 “include classification. config” 改 为 “include C: \snort\etc\classification. config” 
(classification. config 的 绝对 路 径 ); 将 “include refrence. config” 改 为 “include C: \snort\ 
etc\reference. config”。 

(3) 配置 snort 的 输出 插件 : 


添加 output database: alert, mysql, host 二 localhost port 二 3306 user 一 root password 一 123 
dbname = snort sensorname 一 n encoding 一 hex |ssz incluge $RULE PATH/nntp.rules 
. ~ :i 2 = 5s93 include $RULE PATH/other-ids.rules 
detall 二 full; 如 果 MySQL 与 Snort 不 在 同一 台 机 |ssa incluae SRULE_PATH/web-attacks.rules 
i 、 Sk sss include $RULE PATH/backdoor.rules 
器 上 , 则 host 使 用 MySQL 所 在 的 主机 IP。 sss include $RULE PATH/shellcode.rules 
和 i ~ |s97 include $RULE PATH/policy.rules 
(4) 将 下 面 的 行 号 前 的 “#” 去 掉 , 如 图 8-26 |sss include $RULE_PATH/porn.rules 


ss9 include $RULE PATH/info.rules 


所 示 o so include $RULE_ PATH/icmp- info.rules 
eol include $RULE PATH/virus.rules 
命令 行 窗口 运行 : C: \snort\bin 记 snort-i3-c |soz include $RULE_PATH/chat.rules 


je03 include $RULE PATH/multimedia,.rules 


"c:， \snort\etc\snort. conf"-l "c: \snort\log" inolude 4RULE PATH/p2D.rules 


d-e-v, 如 图 8-27 所 示 可 知 配 置 成 功 。 图 8-26 去 掉 “#” 
le: \Snort\binYsnort -i3 -ec “c:\snort\etc\snort.conf” -1 "ec:\snort\log” -d -e -—% 


Running in IDS mode 
Log directory = c:\snort\log 


Initializing Network Interface \Device\NPF_《26B41D7B-1C18-41F@-854E-9E7A6D15D817} 


—== Initializing Snort -=— 
Initializing Output Pluginst 
IDecoding Ethernet on interface ‘\Device\NPF_《26B41D?7B-1C18-41F8-854E-9E7A6D15D817?> 
Initializing Preprocessorst 
Initializing Plug-inst 
Parsing Rules file c:\snort\etc\snort.conf 


PUTT 
Initializing rule chains... 


图 8-27 配置 成 功 


其 中 : -X 参数 用 于 在 数据 链 路 层 记 录 raw packet 数据 ; 
i3 参数 表示 监测 主机 的 ID 为 3 的 网 络 接口 ; 
d 参数 记录 应 用 层 的 数据 ; 
e 参数 显示 /记录 第 二 层 报 文 头 数据 ; 
c 参数 用 于 指定 Snort 的 配置 文件 的 路 径 。 
在 浏览 器 中 输入 http: 127. 0. 0. 1: 18080/acid/acid_main. php ,进入 acid 分 析 控 制 
台 主 界面 。 如 果 整 个 过 程 配置 成 功 . 则 出 现 如 图 8-28 所 示 的 界面 。 


8.5.3 Snort For Windows 的 工作 模式 


在 使 用 Snort 之 前 ,首先 要 查看 主机 上 的 物理 网 卡 ,可 以 使 用 命令 Snort -W, 如 
图 8-29 所 示 ,可知 这 台 机 器 有 三 个 网 卡 , 因 为 在 主机 上 装 有 VMWare 虚拟 机 , 且 其 中 1、2 
为 虚拟 机 的 网 卡 ,ID 为 3 的 网 卡 是 物理 网 卡 。 使 用 snort -i3 ,可 以 监听 第 3 块 网 卡 。 

Snort 有 三 种 工作 模式 ,分 别 为 嗅 探 器 模式 、 数 据 包 记录 器 模式 、 网 络 IDS 模式 ,主要 用 
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GO-.E Er 司 回 区] [8 | 

Gosgle[3- 四 SEE 司 拓 + 癌 -| 刚 - 安生 - 一 笔 i 本 | 区 二 或 - 国 于 - 

夜 收 攻 严 罗网 Aiaysiscaaae for Tntrasion Detebeses | 回 模仿 IE7 辐 页面 6) - 舍 工 oO) - ” 
alysIs LoNSoOIle Tor InIUTUSIOn Uatapases 


Added 0 ak 


) to the Alert c 


Queried on : Mon August 25, 2008 15:30-59 
Database: snort@localhost-3306 «(schema version: 106) 


Time window: [2008-08-23 17:27-48] - [2008-08-25 14:40.39] 
Sensors: 1 Traffic Profile by Protocol 
Unique Alerts: 27 ( 6 categories ) TCP (29%) 
Total Number of Alerts: 249 
P (12% 

e Source IP addresses: 23 I 

e Dest IP addresses: 4 — 

。 Unique IP links 33 CMP (59%) 


。 Source Ports: 76 
o TCP (51) UDP ( 25) Portscan Traffic (0%) 
。 Dest Ports 18 
o TCP (10) UDP (8) 


。 Search 
。 Graph Alert data 


。 Snapshot 
» Most recent Alerts- any protocol, TCP, UDP, ICMP » Most frequent 5 Alerts 
Today's: alerts unique, listing; IP src / dst 
Last 24 Hours: alerts unique, listing; IP src / dst Most Frequent Source Ports- any , TCP , UDP 


。 Last 72 Hours: alerts unique listing; IP src / dst 。 Most Frequent Destination Ports: any , TCP , UDP 
e Most recent 15 Unique Alerts 


图 8-28 输入 http: //127. 0.0.1: 18080/acid/acid_main. php 


:NSnort\hbin7ysnort -ty 


#> Snortt 《一 

ersion 2.0.0-0DBC-MySQL-FlexRESP-WIN32 《Build 72> 

By Martin Roesch CroeschEsourcef ire.con, wuw.snort.org) 

H.-WIN32 Port By Michael Davis 《nikeBdatanezds -net- www.datanerds .net/"“nike> 


Description 

\Device\NPF_{74863E8A-789F-423B-B4CC-88A96F172176》 《UMware Uirtual Ethernet hdapter? 
\Device\NPF_(F2E3EBBA-8883-492P-8CF4-DSF7E883F188> UMware Uirtual Ethernet hdapter7 
\Device\NPF_¢26B41D7B-1C18-41F8-854E-9E7A6D15D817》 Broadcom NetXtreme Gigabit Ethernet Drive| 


图 8-29 查看 主机 上 的 物理 网 卡 
Snort 作为 IDS, 但 同时 也 要 对 其 他 两 种 模式 有 所 了 解 。 
(1) Snort 的 嗅 探 模式 : 通常 可 以 用 来 检测 Snort 是 否 安装 成 功 , 输 入 命令 Snort -v 
使 得 Snort 只 将 IP 和 TCP/UDP/ICMP 的 包头 信息 输出 到 屏幕 上 ,如 图 8-30 所 示 。 


-25-15:58:99 .427533 282.119.281-73 -> 211.136.199.7?6 
IGMP TIL:128 TO0S :BxB ID:4817 IpLen:28 DgmLen:74 
ype:3 Code:3 DESTINATION UNREACHABLE: PORT UNREACHABLE 
ORIGINAL DATAGRAM DUMP: 
Pi1.136.199.76:42163 -> 282.119.281.7?3:3665 


8/25-15:58:11.117873 219.133.49.7:88 -> 282.119.281.73: 
9514 IpLen:2@ DgnLen:186 
APxx* Seq: Bx684D2774 Ack: Bx1?718258C Win: Bx578 TcpLen: 29 


28 DgnLen:186 


2 oa 


图 8-30 ”Snort 的 嗅 探 模式 


AS 
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(2) 数据 包 记 录 器 模式 : 如 果 要 将 数据 包 记 录 在 LOG 文件 中 (C: \snort\log), 则 使 用 
下 面 的 命令 : 


Snort -d -e -vv -i3 -lc:\snort\log 


其 中 : -1 选项 指定 了 存放 日 志 的 文件 夹 ; 运行 该 命令 后 ,将 在 C: \snort\log 目录 下 自动 生 
成 许多 文件 夹 和 文件 ,文件 夹 以 数据 包 目 的 主机 的 IP 地 址 命名 ,如 图 8-31 所 示 , 每 个 文件 
夹 记录 的 是 和 该 外 部 主机 相关 的 网 路 流量 。 


”加 - 床 | 甩 峡 了 本 地 < | 国 - 


| 10. 55.16_190 Es [3 有 | 人 
四 sm 全 训 台南 加 me 
留 二 PY) s8 251.62.56 | 58.251. 62.71 
| 60. 188. 47. 227 PF) so se 1s0 留 60.217. 193. 159 
| 61. 191. 145. 35 [| 64.58. 232.4 | 86.90.57. 124 


[ea 训 [Sa | 81.227.223.3 [Sa | 96.4.112.43 
8-31 ”数据 包 记 录 器 模式 


打开 日 志文 件 , 其 记录 的 格式 与 嗅 探 器 下 的 屏幕 输出 类 似 , 为 Tcpdump 格式 , 如 
图 8-32 所 示 。 


1 ud/zo-lb:1134b.3aU1Zt UrlCIEIICAIOEIEY -> UDUSFUGSHCIE 7:H EYpeiUXHUU len 
2 202.119.201.73:6002 -> 58.61.166.87:8000 UDP TTL:128 TOS:O0x0 ID:2343 IpL' 
3 Len: 64 

4 .03 04 2C 62 00 00 00 01 00 00 00 00 00 00 00 00 bosses 
5oooooooooooooooooooooooooooooooo . 
600 00 00 00 0000 00o000100001221000000 .... 

700 00 00 00 00 00 00 08 01 00 00 O01 09 C8 A3 B5 .... 

8 

++=+= 二 = 十 = 二 = 二 三 十 = 十 = 十 = 十 = 十 = 十 三 十 = 十 = 十 一 十 三 十 三 十 三 十 三 十 三 十 = 十 三 十 = 十 三 十 三 十 = 十 三 十 三 十 三 十 三 十 三 十 = 十 三 二 = 二 1 
10 

11 08/25-16:11:46.972471 0:DO:F8:BC:E7:B -> 0:1C:25:CA:62:E8 type:Ox800 len 
12 58.61.166.87:8000 -> 202.119.201.73:6002 UDP TTL:50 TOS:O0x0 ID:0 IpLen:2! 
13 Len: 56 

14 03 04 DD 90 00 00 00 O01 oo 00 00 00 00 00 00 02 .oo 


Dc:\Snort\log 


8-32 ”打开 日 志文 件 


(3) IDS 模式 : 使 用 命令 snort -d -e -v -i3 -1 c: \snort\log-c c: \snort\etc\snort. conf 
可 以 启动 IDS 模式 ,-c 选项 表示 使 用 snort. conf 中 的 规则 集 。Snort 会 将 每 个 包 和 规则 集 
进行 匹配 ,如 符合 规则 就 采取 规则 所 指定 的 动作 。 在 下 一 部 分 ,将 使 用 Snort 的 IDS 模式 检 
测 攻击 。 


8.5.4 使 用 搭建 的 Windows 入 侵 检 测 平台 检测 入 侵 


我 们 在 主机 202. 119. 201. 73 上 配置 了 入 侵 检测 平台 ,使 用 MySQL 来 存储 检测 的 信 
息 , 使 用 acid 作为 检测 控制 台 的 主 界面 。 
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启动 Snort ,使 用 命令 C: \Snort\bin 二 snort -dve-l c: \snort\log-h 202. 119. 201. 65/ 
24-c c: \snort\etc\snort. conf 。 

使 用 X-Scan v3. 3 在 主机 202. 119. 201.78 上 对 网 段 202. 119. 201. 65 一 202. 119. 201. 
100 进行 扫描 ,如 图 8-33 所 示 。 


+ x-Scan v3.3 GUI 


文件 的 ”设置 (wW) 查看 ( 池 工具 (Y) Language 帮助 (2) 


人 | m 加 | 图 | 国志 | 加 


202. 119. 201.73 Microso 
202. 119. 201.75 (TBM ATX 
202. 119. 201, 77 

202. 119. 201.78 (Windows 
202. 119. 201. 95 CBN ATIX 


田 - 母 田 田 -田间 让 


202. 119.201. 73 138 75 9 站 全 执 和 病人 欠 淹 了 村 3epdb. detect. nasl” ... (TT8/3l 
202. 119.201.75 136 28 0 正在 检测 "漏洞 检测 脚本 ” 

202. 119.201.77 136 110 王 生 和 汪 三 Server 台 口 令 ，Adninistrator/ IG 
202. 119.201.78 136 86 5 榨 测 脚本 “smb_gx oup_xr eplicator. nasl”， 
202. 119.201. 95 115 16 0 Ee 


普通 信息 | 漏洞 信息 | 错误 信息 | 
[202. 119. 201. 78] : “IIS 编 码 /解码 漏洞 " 扫 托 元 成 


8-33 ”扫描 网 段 202. 119. 201. 65 一 202. 119. 201. 100 


打开 acid 检测 控制 台 


主 界面 http: //127. 0. 0. 1: 18080/acid/acid_main. php, 如 


图 8-34 所 示 ,分 别 给 出 了 TCP .UDP ICMP 协议 的 详细 日 志 情 况 ,点 击 后 面 的 百分比 可 以 


查看 详细 信息 。 


Analysis 


Added 0 alert(s) to the Alert cache 


Sensors: 1 
Unique Alerts: 28 ( 6 categories ) 
Total Number of Alerts: 268 


» Source IP addresses 23 
»。 Dest IP addresses: 4 
» Unique IP links 33 


。 Source Ports 77 

© TCP ( 51) UDP (26) 
» Dest Ports: 18 

ao TCP (10) UDP (8) 


» Search 
。 Graph Alert data 


。 Snapshot 


onsole for Intrusion Data 


[7 
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s (ACID) - Windows Internet Explorer 


Ys 国 [4[x| [8 < ea 
Google|8~ 国 同名 + 网 -| 屯 . 全 栓 - 国 尘 z 本 区 直 找 - mE 
突 收 大 天 斩 | 全 Mysis Console for Intrasion Dutobeses | [ 回 酸 仿 IT | 车 页 面 @) - 局 工具 Q@) ~ 


Queried on - Mon August 25, 2008 16.57.33 
Database: snort@localhost-3306 。 (schema version: 106) 
Time window: [2008-08-23 17.27.48] - [2008-08-25 16.:51 55] 


Traffic Profile by Protocol 
TCP (26%) 


UDP (12%) 


ICMP (62%) 


Portscan Traffic (0%) 


~ Mnet franuant 5 Alare 


8-34 ”检测 控制 台 主 界面 


ICMP 协议 日 志 给 出 了 详细 的 信息 .如 时 间 戳 .目的 / 源 地 址 ,如 图 8-35 所 示 。 
单 击 alert 后 面 的 数字 , 则 可 详细 地 看 到 所 给 出 的 特殊 的 流量 记录 ,这 些 可 能 就 是 某 种 


攻击 ,如 图 8-36 所 示 。 


系统 入 侵 检测 与 防御 


0 alert(s) to the Alert cache 


Queried DB on Mon August 25. 2008 17.03.49 


口 “ 站 42261] 


mm 71 


Signature 


[snor ICMP Destination Unreachable (Por 
Unreachable) 

[snort] ICMP Destination Unreachable (Port 
Unreachable) 

[snord ICMP Destination Unreachable (Por 
Unreachable) 

[snort] ICMP Destination Unreachable (Port 
Unreachable) 

[arachNID SJ][snon] ICMP PING Windows 


[snort] ICMP Echo Reply 


[arachNIDSI{snon] ICMP PING Windows 


TenarlIFMD Frhn Dnmh 


8-35 


Payload Criteria 


口 加 12 
1) 8 
口 
口 
口 #2 
[ma 
引 
8.6.1 


e Port- TC 
ation Port: TCP | 
ime profile of alerts 


P1UDP 


UDP 


50 of 166 total 


Source 
Address 


202.119.201.73 


Timestamp 
2008-08-25 16.51.55 


2008-08 


145 “202.119.201.73 


2008-08-25 16.51.45 


19.201.73 


19.201.73 
202.119.201.78 
202.119.201 


2008-08-25 16.51.39 


202.119.201.78 


ICMP 协议 日 志 
» Source Port: TCP | UDF 


)estination Port: TCP | 
ime profile of alerts 


Displaying alerts 1-50 of 268 total 


Signature 


[snort] (snort_decoder) Invalid UDP header, length field < 


un[snord SCAN SOCKS Proxy attempt 


[snort] SCAN Squid Proxy attempt 


[snort] SCAN Proxy (8080) attempt 


[snort] P2P GNUTella GET 


Source 
Timestamp Address 
2008-08-23 221.205.36.34:1078 
17-27:48 
2008-08-25 202.119.201.78-8694 


09:09-1 


2008-08-25 
09:09-18 


202.119.201.78:10742 


2008-08-25 
09:09-19 202.119.201.78-15694 
2008-08-25 
09.09.26 


202119.201.78:1043 


8-36 ”特殊 的 流量 记录 


Dest 
Address 


202.119,201.78 


Layer 
4 


Proto 
ICMP 


202.119.201.78 ICMP 
202.119.201.78 ”ICMP 
202.119.201.7 ICMP 
202.119201.73 ”ICMP 
202.119.201.78 ICMP 
202.119.201.73 ”ICMP 
I 1103n1 TR MMO 


UDF 


Dest 

Address 
UDP 

202.119.201.73.26541 

202.119.201.73:1080 。 TCP 
202.119.201.73:3128 TCP 
119.201.73:8080 TCP 
202.119.201.73:139 TCP 


8.6 其 他 类 型 的 人 侵 检 测 系 统 


文件 完整 性 检查 系统 
文件 完整 性 检查 系统 检查 计算 机 中 上 次 检查 后 文件 变化 的 情况 。 文 件 完整 怕 


E 检 查 系统 


保存 有 每 个 文件 的 数字 摘要 数据 库 , 每 次 检查 时 , 它 重 新 计算 文件 的 数字 摘要 并 将 它 与 数据 
库 中 的 值 相 比较 : 若 不 同 , 则 说 明文 件 已 经 被 修改 ; 车 相同 , 则 说 明文 件 未 发 生变 化 。 


文件 的 数字 摘要 通过 Hash 函数 计算 
定 长 度 的 数字 。 


果 是 一 个 固 


得 到 


何必 


中。 不 管 文件 长 度 如 何 , 它 的 Hash 函数 计算 结 
与 加 密 算 法 不 同 , Hash 算法 是 一 个 不 可 逆 的 单 向 


用 
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安全 性 高 的 Hash 算法 (如 MD5、SHA) 时 ,两 个 不 同 的 文件 几乎 不 可 能 得 到 相同 的 Hash 结 
果 。 从 而 ,一 旦 文件 被 修改 ,就 可 以 检测 出 来 。 

文件 完整 性 检查 系统 有 以 下 优点 。 

(1) 从 数学 上 分 析 ,攻克 文件 完整 性 检查 系统 ,无 论 是 时 间 上 还 是 空间 上 都 是 不 可 能 
的 。 文 件 完整 性 检查 系统 是 非常 强 有 力 的 检测 文件 被 修改 的 工具 。 事 实 上 ,文件 完整 性 检 
查 系 统 是 检测 系统 被 非法 使 用 的 最 重要 的 工具 之 一 。 

(2) 文件 完整 性 检查 系统 具有 相当 的 灵活 性 ,可 以 配置 为 检测 系统 中 的 所 有 文件 或 某 
些 重要 文件 。 

(3) 当 一 个 和 人 侵 者 攻击 系统 时 ,首先 ,他 要 掩盖 他 的 踪迹 , 即 通过 更 改 系统 中 的 可 执行 
文件 . 库 文件 或 日 志文 件 来 隐藏 他 的 活动 ; 其 次 ,他 要 做 一 些 改动 保证 下 次 能 够 继续 入 侵 。 
这 两 种 活动 都 能 够 被 文件 完整 性 检查 系统 检测 到 。 

尽管 如 此 ,文件 完整 性 检查 系统 也 存在 一 些 不 足 。 

(1) 文件 完整 性 检查 系统 依赖 于 本 地 的 摘要 数据 库 。 与 日 志文 件 一 样 ,这 些 数据 可 能 
被 入 侵 者 修改 。 当 一 个 入 侵 者 取得 管理 员 权 限 后 ,在 完成 破坏 活动 后 ,可 以 运行 文件 完整 性 
检查 系统 更 新 数据 库 , 从 而 骗 过 系统 管理 员 。 当 然 ,也 可 以 将 完整 数据 库 放 在 只 读 的 介质 
上 ,但 这 样 的 配置 不 够 灵活 性 。 

(2) 做 一 次 完整 的 文件 完整 性 检查 是 一 件 非常 耗 时 的 工作 ,在 Tripwire 中 ,在 需要 时 可 
选择 检查 某 些 系统 特性 而 不 是 完全 的 摘要 ,从 而 加 快 检查 速度 。 

(3) 系统 有 些 正常 的 更 新 操作 (如 软件 升级 ) 可 能 会 带 来 大 量 的 文件 更 新 ,从 而 产生 比 
较 繁杂 的 检查 与 分 析 工 作 。 


8.6.2 日 志文 件 监 视 


日 志文 件 通常 有 应 用 程序 日 志 , 安 全 日 志 、 系 统 日 志 、DNS 服务 器 日 志 、FTP 日 志 、 
WWW 日 志 等 ,下 面 以 FTP 为 例 说 明日 志 记 录 的 结构 。 

FTP 日 志和 WWW 日 志 默 认 情 况 , 每 天 生成 一 个 日 志文 件 , 包 含 了 该 日 的 一 切记 录 ， 
文件 名 通常 为 ex( 年 份 )( 月 份 )( 日 期 ), 例 如 ex001023, 就 是 2000 年 10 月 23 日 产生 的 日 
志 , 用 记事 本 就 可 直接 打开 ,如 下 例 : 


#Date: 20001023 0315( 服 务 启动 时 间 日 期 ) 

#Fields:time cip csmethod csuristem scstatus 

0315 127.0.0.1[1]USER administator 331(IP 地 址 为 127.0.0.1 用 户 名 为 administator 试图 登录 ) 
0318 127.0.0.1[1]PASS - 530( 登 录 失 败 ) 

032: 04 127.0.0.1[1]USER nt 331(IP 地 址 为 127.0.0.1 用 户 名 为 nt 的 用 户 试图 登录 ) 

032: 06 127.0.0.1[1]PASS - 530( 登 录 失 败 ) 

032: 09 127.0.0.1[1]USER cyz 331(IP 地 址 为 127.0.0.1 用户 名 为 cyz 的 用 户 试图 登录 ) 

0322 127.0.0.1[1]PASS - 530( 登 录 失 败 ) 

0322 127.0.0.1[1]USER administrator 331(IP 地 址 为 127.0.0.1 用 户 名 为 administrator 试图 登录 ) 
0324 127.0.0.1[1]PASS - 230( 登 录 成 功 ) 

0321 127.0.0.1[1]MKD nt 550( 新 建 目录 失败 ) 

0325 127.0.0.1[1]0UIT- 550( 退 出 FTP 程序 ) 


从 日 志 里 就 能 看 出 IP 地 址 为 127. 0. 0. 1 的 用 户 一 直 试 图 登录 系统 , 换 了 四 次 用 户 名 和 
密码 才 成 功 ,管理 员 立 即 就 可 以 得 知 管理 员 的 入 侵 时 间 、IP 地 址 以 及 探测 的 用 户 名 ,以 此 为 
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依据 ,考虑 更 换 此 用 户 名 的 密码 ,或 者 重 命名 administrator 用 户 。 
Microsoft Windows 中 的 事件 记录 提供 了 一 种 标准 的 、 集 中 化 的 方式 使 得 应 用 程序 记 
录 重 要 的 软件 和 硬件 事件 。 “事件 ”, 按 Windows 中 的 定义 ,是 指 发 生 的 任何 需要 通知 用 户 
的 重要 事情 (无 论 是 在 操作 系统 中 还 是 在 应 用 程序 中 ) ,每 个 事件 日 志 条 目 都 可 以 分 为 以 下 
几 个 类 别 之 一 : 错误 .警告 .信息 成 功 审 核 和 失败 审核 (详情 见 表 8-1) 。 
表 8-1 Windows 日 志 条 目 
条 目 类 型 内 容 


信息 事件 指示 不 常 发 生 但 很 重要 的 操作 。 例 如 , 当 Microsoft SQL Server 成 
功 加 载 时 ,记录 一 个 “已 启动 SQL Server”。 信 息 事 件 应 当 是 恰当 的 。 注 意 ， 
这 对 于 主要 服务 器 服务 是 正确 的 行为 ,但 对 于 桌面 程序 来 说 ,每 次 启动 时 都 
记录 一 个 事件 一 般 来 说 是 不 恰当 的 

警告 事件 指示 不 会 马上 就 很 明显 的 问题 ,但 此 问题 以 后 可 能 会 带 来 麻烦 。 
资源 消耗 是 警告 事件 的 一 个 很 好 的 例子 。 例 如 ,如 果 磁 盘 空 间 不 足 , 应 用 程 
序 会 记录 一 个 警告 事件 。 如 果 一 个 应 用 程序 可 以 从 事件 中 恢复 而 未 丢失 功 
能 或 数据 , 它 一 般 会 将 此 事件 归 类 为 警告 事件 

错误 事件 指示 用 户 应 知道 的 重大 问题 ,如 功能 或 数据 的 丢失 。 例 如 ,如 果 某 
个 服务 在 系统 引导 时 不 能 加 载 , 它 就 会 记录 一 个 错误 事件 

成 功 审核 事件 是 一 个 安全 性 事件 ,在 经 审核 的 访问 尝试 成 功 时 发 生 。 例 如 ， 
成 功 的 登录 尝试 就 是 一 个 成 功 审核 事件 

失败 审核 事件 是 一 个 安全 性 事件 ,在 经 审核 的 访问 尝试 失败 时 发 生 。 例 如 ， 
尝试 打开 文件 失败 就 是 一 个 失败 审核 事件 


信息 (Information) 


警告 (Warning) 


错误 (Error) 


成 功 审核 (SuccessAudit) 


失败 审核 (FailureAudit) 


目前 广泛 使 用 的 Windows 操作 系统 主要 是 Windows 2000., Windows XP, Windows 
2003 Server, 它 们 都 是 基于 Windows NT 内 核 开 发 的 。Windows NT 的 日 志文 件 一 般 分 为 
三 类 。 

(1) 系统 日 志 (System) : 跟踪 各 种 各 样 的 系统 事件 ,记录 由 Windows NT 系统 组 件 产 
生 的 事件 。 例 如 ,在 启动 过 程 加 载 驱 动 程序 错误 或 其 他 系统 组 件 的 失败 记录 在 系统 日 志 中 。 

(2) 应 用 程序 日 志 (Application) : 记录 由 应 用 程序 或 系统 程序 产生 的 事件 ,比如 应 用 程 
序 产 生 的 装载 DLL( 动 态 链接 库 ) 失 败 的 信息 将 出 现在 日 志 中 。 

(3) 安全 性 日 志 (Security): 记录 登录 上 网 、 下 网 、 改 变 访问 权限 以 及 系统 启动 和 关闭 
等 事件 以 及 与 创建 .打开 或 删除 文件 等 资源 使 用 相关 联 的 事件 。 

这 三 个 日 志文 件 通 常 保存 在 %Systemroot%\System32\config 文件 夹 下 ,名 称 分 别 为 
SysEvent. evt, AppEvent. evt 和 SecEvent. evt。 当 然 这 个 位 置 并 不 是 固定 的 ,系统 管理 员 
可 以 通过 修改 注册 表 来 改变 它们 的 保存 路 径 , 根 据 指 向 具体 文件 的 配置 ,可 以 在 HKLM_ 
LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 目录 下 看 到 三 个 日 志 。 

Windows 使 用 了 一 种 特殊 的 格式 保存 它们 并 加 以 保护 ,一 般 情况 下 普通 用 户 不 能 随意 
更 改 。 不 能 用 针对 普通 TXT 文件 的 编辑 方法 来 编辑 它们 ,Word 类 的 软件 也 奈何 不 了 。 甚 
至 不 能 对 它们 进行 “ 重 命名 “删除 ”或 “移动 ”操作 ,否则 系统 拒绝 对 文件 的 访问 。 对 事件 日 
志 的 访问 权限 是 由 应 用 程序 运行 所 使 用 的 账户 来 决定 的 。“ 本 地 系统 ”账户 是 服务 应 用 程序 


180 计算 机 系统 安全 教程 


可 以 使 用 的 专用 账户 。 管理 员 账 户 由 系统 的 管理 员 组 成 。“ 服 务 器 操作 员 ” 账 户 
(ServerOp) 由 域 服务 器 的 管理 员 组 成 。“ 全 体 ” 账 户 包括 所 有 系统 上 的 所 有 用 户 。 表 8-2 说 
明了 对 各 日 志 具 有 读 取 、 写 入 和 清除 访问 权限 的 账户 。 


表 8-2 日 志 权 限 管 理 


日 志 账 户 访问 权限 

应 用 程序 本 地 系统 读 取 , 写 入 ,清除 
管理 员 读 取 , 写 入 ,清除 
服务 器 操作 员 读 取 , 写 入 ,清除 
全 体 读 取 , 写 入 

安全 性 本 地 系统 读 取 , 写 入 ,清除 
管理 员 读 取 , 写 入 
全 体 无 

系统 本 地 系统 读 取 , 写 入 ,清除 
管理 员 读 取 , 写 入 ,清除 
全 体 读 取 ,清除 
服务 器 操作 员 读 取 


另外 ,如 果 用 户 已 获准 具有 下 列 权 限 之 一 ,他 们 就 可 以 读 取 和 清除 “安全 性 ”日 志 :“ 管 
理 审核 和 安全 日 志 ” 用 户 权 限 ; SE_AUDIT_NAME 特权 。 


8.7 蜜 鲜 


8.7.1 窗 钢 的 概念 


“ 蜜 饶 ” 这 一 概念 最 初出 现在 1990 年 出 版 的 一 本 小 说 The Cuckoos Egg 中 ,在 这 本 小 
说 中 描述 了 作者 作为 一 个 公司 的 网 络 管理 员 ,如何 追踪 并 发 现 一 起 商业 间谍 案 的 故事 。“ 蜜 
网 项 目 组 "(The Honeynet Project) 的 创始 人 Lance Wp 给 出 了 对 蜜 钠 的 权威 定义 : 蜜 
缸 是 一 种 安全 资源 ,其 价值 在 于 被 扫描 、 攻 击 和 攻陷 。 这 个 定义 表明 蜜 饶 并 无 其 他 实际 作 
用 ， ee 攻击 和 攻陷 。 而 蜜 镀 的 核心 价 
值 就 在 于 对 这 些 攻击 活动 进行 监视 ,检测 和 分 析 。 蜜 钠 并 非 一 种 安全 解决 方案 ,这 是 因为 蜜 
钠 并 不 会 “更 正 ” 任 何 错误 。 

蜜 钢 是 一 种 网 络 攻击 诱骗 工具 .又 叫 网 络 陷阱 , 它 通过 模拟 一 个 或 多 个 易 受 攻击 的 目标 
系统 ,给 黑客 提供 一 个 包含 漏洞 并 容易 被 攻破 的 系统 作为 他 们 的 攻击 目标 。 其 主要 作用 是 
吸引 入 侵 者 来 嗅 探 ,攻击 ,同时 不 被 察觉 地 将 他 们 的 活动 记录 下 来 ,进而 评估 黑客 攻击 的 目 
的 、 使 用 的 工具 .运用 的 手段 .造成 的 后 果 。 通 常 蜜 饶 部 署 在 容易 被 人 侵 者 发 现 的 地 方 , 辅 以 
各 种 网 络 攻击 诱骗 技术 来 诱 使 入 侵 者 上 当 . 让 入 侵 者 误 以 为 已 经 成 功 侵 入 网 络 系统 ,而 系统 
则 完成 了 对 入 侵 者 的 攻击 过 程 的 记录 ,通过 这 些 记 录 可 以 分 析 、 学 习 入 侵 者 侵入 系统 所 使 用 
的 工具 ,采用 的 手段 ,技术 和 他 们 的 意图 。 有 些 蜜 镀 系 统 甚 至 可 以 对 攻击 者 网 上 聊天 的 内 容 
进行 记录 。 蜜 锥 系统 管理 人 员 通 过 分 析 攻 击 者 的 网 上 聊天 内 容 还 可 以 获得 攻击 者 的 活动 范 
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围 以 及 下 一 个 攻击 目标 ,根据 这 些 信 息 , 管 理 人 员 可 以 提前 对 系统 进行 保护 。 同 时 某 种 程度 
上 ,在 蜜 缸 系统 中 记录 的 信息 还 可 以 作为 对 攻击 者 进行 起 诉 的 证 据 , 这 也 是 蜜 缸 设计 的 初 囊 
之 一 。 同 时 蜜 负 可 以 吸引 和 转移 攻击 者 的 注意 ,延缓 他 们 对 真正 目标 的 攻击 ,消耗 他 们 的 时 
间 和 资源 ,影响 他 们 的 意志 。 甚 至 可 以 事先 掌握 攻击 者 的 行为 ,跟踪 攻击 者 ,并 有 效 地 制止 
攻击 者 的 破坏 行为 ,形成 威慑 攻击 者 的 力量 。 蜜 钠 还 可 以 对 攻击 进行 检测 和 报警 ,和 入 侵 检 
测 系 统 相 比 ,由 于 它 不 提供 正常 的 网 络 服务 ,任何 对 蜜 钠 的 网 络 访问 都 被 认为 是 攻击 ,所 以 
蜜 钠 的 一 大 优点 就 是 不 会 产生 误 报 和 漏 报 。 


8.7.2 窄 缸 的 原理 


从 蜜 缸 的 定义 可 以 看 出 , 密 缸 的 目的 就 是 布置 安全 陷阱 ,诱骗 攻击 者 对 它 攻击 ,在 攻击 
者 认为 它 成 功 达到 攻击 目的 的 同时 , 蜜 缸 系统 对 整个 攻击 过 程 也 进行 了 记录 。 下 面 就 从 布 
置 安全 陷阱 .诱骗 攻击 和 记录 攻击 过 程 三 个 方面 来 叙述 蜜 钠 的 原理 。 

1. 布置 安全 陷阱 

如 何 巧 妙 地 布置 安全 陷阱 是 蜜 缸 系统 非常 关键 的 一 个 步骤 ,如 果 攻 击 者 很 容易 识别 陷 
阱 或 根本 不 知道 陷阱 位 于 何 处 , 蜜 缸 系统 的 作用 也 就 无 用 武之 地 了 。 在 一 个 典型 的 受 保护 
网 络 中 , 蜜 饶 系 统 通常 位 于 受 保护 网 络 内 , 它 不 对 外 提供 IP 地 址 ,也 不 对 外 提供 任何 网 络 服 
务 及 服务 接口 ,因此 在 这 样 的 系统 中 ,任何 对 该 密 缸 主机 的 连接 及 操作 都 可 以 认为 是 攻击 的 
发 生 。 在 布置 安全 陷阱 方面 ,可 以 与 生活 中 陷阱 的 概念 相对 比 , 猎 人 的 陷阱 通常 都 会 放置 于 
一 个 猎物 经 常 出 没 的 地 方 或 在 陷阱 旁 设置 一 些 新 鲜 的 事物 来 引起 猎物 好 奇 的 天 性 ,这 样 往 
往 可 以 成 功 捕获 猎物 。 

2. 诱骗 攻击 

当 攻 击 者 成 功 人 侵 受 保护 网 络 后 .如何 诱骗 攻击 者 只 对 蜜 钢 攻击 而 暂时 忽略 对 其 他 安 
全 主机 的 攻击 呢 ? 这 正 是 诱骗 攻击 的 目的 ,也 是 蜜 缸 系统 与 受 保护 主机 在 安全 设置 上 的 区 
别 。 在 一 个 比较 典型 的 攻击 过 程 中 , 当 攻 击 者 攻 入 一 个 受 保 护 网 络 后 , 它 首 先 会 寻找 一 台 安 
全 措施 比较 弱 ,易于 进行 攻击 的 系统 进行 突破 ,因为 攻击 者 一 般 会 认为 只 要 将 受 保护 网 络 的 
一 台 机 器 成 功 攻破 ,再 基于 此 攻破 主机 对 内 网 的 其 他 主机 进行 攻击 将 会 更 加 容易 。 其 实 这 
样 做 的 道理 也 是 明显 的 ,因为 内 网 的 相互 访问 可 以 绕 过 众多 的 安全 检查 ,一 般 认 为 是 安全 
的 。 因 此 一 且 攻 击 者 找到 了 最 易 攻 破 的 入口 点 ,对 其 他 主机 的 攻击 也 就 易如反掌 。 基 于 这 
样 的 原理 ,只 要 蜜 负 系 统 的 诱骗 技术 与 真实 主机 几乎 无 异 , 则 大 多 时 候 可 以 成 功 地 将 攻击 者 
引入 蜜 缸 陷阱 。 

3， 记录 攻击 过 程 

攻击 过 程 的 记录 存在 于 实施 攻击 的 整个 过 程 , 它 通过 对 攻击 过 程 的 详细 跟踪 来 实现 对 
攻击 过 程 的 特征 提取 。 同 样 的 .有 的 攻击 者 如 果 在 攻击 过 程 中 发 现 所 攻击 系统 是 蜜 钢 系 统 ， 
可 能 会 寻找 蜜 钠 系 统 的 弱点 而 将 蜜 镀 系 统 的 日 志 删 除 ,因此 在 日 志 记 录 过 程 中 ,要 间 防 蜜 钠 
系统 中 日 志 记 录 模 块 的 安全 性 。 


8.7.3 密 缸 分 类 
对 密 饶 的 分 类 方式 有 以 下 三 种 。 


182 计算 机 系统 安全 教程 


(1) 蜜 缸 从 性 质 上 可 以 分 为 产品 型 蜜 缸 和 研究 型 蜜 缸 。 

产品 型 蜜 饶 的 目的 在 于 为 一 个 组 织 的 网 络 提供 安全 保护 ,包括 检测 攻击 、 防 止 攻击 造成 
破坏 及 帮助 管理 员 对 攻击 做 出 及 时 正确 的 响应 等 功能 。 较 具 代 表 性 的 产品 型 蜜 钠 包 括 
DTK .honeyd 等 开源 工具 和 KFSensor、ManTraq 等 一 系列 的 商业 产品 。 产 品 型 蜜 钠 一 般 
用 来 作为 诱 乌 把 黑客 的 攻击 尽 可 能 长 时 间 地 捆绑 在 蜜 钠 上 , 赚 得 时 间 保 护 实际 网 络 环境 ,有 
时 也 用 来 收集 证 据 作 为 起 诉 黑客 的 依据 。 

研究 蜜 钠 不 保障 某 个 系统 或 团体 的 安全 ,也 不 为 某 个 系统 或 团体 服务 ,而 是 旨 在 收集 网 
络 中 各 种 安全 威胁 的 信息 ,为 研究 这 些 安全 威胁 服务 。 研 究 蜜 钠 主 要 通过 捕捉 网络 入 侵 者 
的 活动 来 实现 其 目的 。 

蜜 缸 可 以 是 单独 的 系统 ,也 可 以 和 受 保护 的 关键 系统 放 在 一 起 。 研 究 型 蜜 缸 通常 是 一 
个 单独 的 系统 ,部 署 在 网 络 中 易于 被 网 络 黑客 发 现 的 地 方 ; 产品 型 蜜 缸 通常 和 受 保护 的 关 
键 系统 放置 在 一 起 ,作为 传统 信息 安全 保障 手段 的 辅助 手段 。 首 先 , 蜜 缸 尤其 是 研究 型 蜜 缸 
需要 使 用 各 种 攻击 诱骗 手段 吸引 黑客 的 注意 并 诱 使 其 对 蜜 钠 发 起 攻击 。 然 后 , 蜜 钢 需 要 构 
造 一 个 或 多 个 存在 安全 漏洞 的 目标 系统 用 于 与 人 侵 者 进行 直接 的 交互 和 翰 旋 ,通过 多 层 数 
据 捕 提 .收集 手段 和 技术 对 入 侵 者 的 活动 进行 监视 和 记录 ,并 通过 网 络 备份 到 远程 日 志 服 务 
器 ; 同时 运用 多 种 控制 手段 和 技术 对 入 侵 者 的 活动 进行 限制 ,防止 蜜 钠 为 人 侵 者 利用 作为 
攻击 其 他 系统 的 跳板 。 最 后 利用 各 种 工具 和 和 手段 对 入 侵 者 的 活动 进行 分 析 , 对 入 侵 者 的 技 
术 ,手段 .意图 进行 研究 和 学 习 。 产 品 型 蜜 钢 的 主要 目的 是 消耗 入 侵 者 的 时 间 , 延 绥 入 侵 者 
对 关键 系统 的 攻击 ,将 入 侵 者 对 关键 系统 的 破坏 减 小 到 最 低 。 

(2) 根据 蜜 钠 系 统 与 攻击 交互 的 频繁 程度 可 将 蜜 钠 系 统 分 为 低 交 互 蜜 钠 、 中 交互 蜜 钢 

低 交 互 蜜 饶 只 为 外 界 攻击 提供 非常 有 限 的 应 答 或 只 是 简单 的 监听 网 络 的 连接 信息 ， 
如 可 能 只 开设 几 个 虚假 的 端口 信息 , 当 攻 击 者 根据 扫描 工具 找到 这 些 端口 并 进行 攻击 
时 , 蜜 钠 系统 因为 没有 回应 ,因而 只 能 产生 一 些 简单 的 日 志 信 息 , 而 这 些 信息 只 是 一 些 初 
始 的 连接 信息 ,无 法 真正 评估 攻击 的 目的 ,而 且 因为 无 法 回应 或 只 回应 少量 信息 ,聪明 的 
黑客 很 快 就 会 发 现 异常 并 停止 攻击 ,这 样 也 就 失去 了 诱骗 的 初衷 。 当 然 ,因为 交互 信息 的 有 
限 性 ,这 种 类 型 的 蜜 钠 系 统 的 安全 性 也 是 最 高 的 , 它 不 易 被 黑客 攻破 而 成 为 攻击 其 他 内 网 主 
机 的 跳板 。 

中 交互 蜜 负 为 外 界 提供 近乎 真实 的 服务 应 答 机 制 ,但 因为 交互 频率 的 提高 , 蜜 钠 系 统 可 
以 提供 较 低 交互 系统 更 加 详细 的 日 志和 攻击 手段 。 但 中 交互 系统 因为 要 模拟 众多 的 服务 而 
加 大 了 其 普通 使 用 的 技术 门槛 。 因 为 在 无 操作 系统 支持 的 基础 上 提供 各 种 协议 服务 ,而 且 
要 诱骗 攻击 者 认为 这 是 一 个 真正 的 服务 ,这 就 要 求 在 技术 上 要 非常 的 双 真 与 高 效 ,攻击 者 往 
往 是 对 网 络 安 全 技术 有 深入 了 解 的 人 ,如 果 只 是 简单 的 或 偶尔 不 正确 的 响应 一 些 攻击 者 的 
请 求 , 攻 击 者 可 能 很 快 就 会 发 现 被 攻击 系统 是 个 陷阱 ,从 而 停止 攻击 。 因 此 架设 一 个 中 交互 
系统 是 比较 复杂 的 ,要 求实 施 者 对 网 络 协议 与 服务 有 深刻 的 认识 。 同 时 ,因为 中 交互 系统 提 
供 了 较 多 的 网 络 服务 ,有 可 能 被 攻击 者 利用 成 为 跳板 ,因此 ,在 实施 该 系统 的 网 络 内 ,应 经 常 
检查 系统 日 志 . 并 严格 检查 是 否 有 安全 漏洞 已 经 被 黑客 利用 。 

高 交互 蜜 钠 是 为 外 界 提 供 真实 的 操作 系统 服务 的 蜜 钠 系 统 。 因 为 在 现实 的 网 络 攻 击 
中 ,最 可 怕 的 并 不 是 攻击 者 的 和 人 侵 与 破坏 ,而 是 当 攻 击 者 攻破 系统 并 为 所 欲 为 时 ,管理 员 仍 
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然 无 法 知道 攻击 者 是 如 何 冯 和 人 安全 系统 中 的 。 因 此 ,在 这 样 的 要 求 下 ,高 交互 系统 显示 出 了 
其 独特 的 优点 ,因为 高 交互 系统 可 以 提供 真实 的 操作 系统 环境 ,攻击 者 完全 可 以 认为 它 就 是 
一 台 真 实 的 服务 器 主机 ,因此 , 它 可 以 对 攻击 者 的 攻击 方法 进行 详细 的 日 志 记录 。 当 攻击 者 
自 认为 成 功 入侵 时 ,系统 也 成 功 的 记录 了 它 的 入侵 过 程 , 这 样 可 以 帮助 系统 发 现 当 前 系统 漏 
洞 并 采取 相应 措施 修补 漏洞 。 当 然 , 因 为 部 署 了 真实 的 操作 系统 ,就 难免 有 攻击 者 可 以 通过 
蜜 钠 系统 对 其 他 内 网 主机 进行 攻击 ,因此 ,管理 员 应 定期 检查 蜜 钠 主 机 的 安全 性 和 完整 性 ， 
也 可 通过 其 他 方法 将 蜜 炙 主 机 与 受 保护 主机 隔离 ,使 攻击 者 即使 攻破 了 蜜 钠 系 统 也 无 法 跳 
板 攻击 其 他 主机 。 

(3) 从 具体 实现 的 角度 ,可 以 分 为 物理 蜜 镑 和 虚拟 蜜 镀 。 

高 交互 蜜 钠 通常 是 一 台 或 多 台 拥 有 独立 IP 和 真实 操作 系统 的 物理 机 器 ,提供 部 分 或 完 
全 真实 的 网 络 服 务 , 这 种 蜜 铅 叫 物理 蜜 铅 。 中 低 交互 的 蜜 铅 可 以 是 虚拟 的 机 器 、 虚 拟 的 操作 
系统 .虚拟 的 服务 ,这 样 的 蜜 缸 ,就 是 虚拟 蜜 缸 。 配 置 高 交互 性 的 物理 蜜 缸 成 本 很 高 ,相对 而 
言 虚拟 蜜 钠 需 要 较 少 的 计算 机 资源 和 维护 费用 。 


8.7.4 ” 窗 钢 的 优 缺 点 


蜜 钠 系 统 有 其 他 网 络 安 全 技术 没有 的 几 个 独特 的 优势 。 

第 一 个 优势 是 蜜 钠 的 数据 价值 高 。 蜜 钠 收 集 的 数据 量 很 少 ,但 是 含金量 高 , 蜜 钠 的 概念 
决定 了 可 以 将 噪音 降 到 最 低 ( 任 何 对 它 的 访问 都 是 非法 、 可 疑 的 ) ,不 同 于 其 他 的 安全 工具 每 
天 收集 的 数据 达到 几 GB, 大 多 数 蜜 饶 每 天 收集 的 数据 都 是 几 MB。 而 这 些 数据 记录 的 都 是 
扫描 .探测 ,攻击 ,价值量 非常 高 。 

第 二 个 优势 是 蜜 钠 的 资源 消耗 少 。 因 为 蜜 钠 需要 捕获 和 监视 的 网 络 行为 很 少 ,所 以 一 
般 情况 下 是 不 会 出 现 资源 耗 尽 的 情况 。 蜜 饶 仅 仅 只 需 监视 对 它 的 连接 ,所 以 不 会 存在 网 络 
流量 大 的 压力 。 蜜 钠 对 资源 需求 的 有 限 性 使 得 不 必 花 费 太 多 的 钱 去 投资 。 蜜 铅 相 对 于 防火 
墙 .IDS 这 些 安全 工具 来 说 , 它 不 需要 最 新 的 技术 一 一 高 容量 的 RAM、 高 速 CPU。 这 就 意 
味 着 蜜 饶 配 置 不 需要 消耗 太 多 资源 。 

第 三 个 优势 是 蜜 钠 的 设计 和 配置 简单 。 简 单 性 是 蜜 钠 的 最 大 优势 ,不 需要 开发 复杂 新 
奇 的 算法 ,不 需要 维护 特征 数据 库 , 不 需要 配置 规则 库 。 只 要 配 告 好 蜜 钢 , 把 它 放 在 网 络 中 ， 
坐 着 等 待 就 可 以 了 。 对 于 一 个 系统 而 言 , 越 简单 ,其 工作 的 可 靠 性 越 好 。 

蜜 链 虽 然 有 众多 的 优点 ,同时 它 也 有 缺点 ,这 些 缺 点 主要 体现 在 以 下 几 个 方面 。 

第 一 个 缺点 是 蜜 钠 的 视野 比较 狭窄 。 它 只 能 看 见 针 对 它 的 行为 。 如 果 攻 击 者 问 入 网 
络 , 攻 击 了 多 个 系统 ,但 是 由 于 没有 直接 攻击 蜜 钠 , 那 么 蜜 钠 将 无 法 发 现 这 次 攻击 。 

第 二 个 缺点 是 蜜 钠 运 行 时 容易 留 下 指纹 。 指 纹 是 蜜 钠 的 另外 一 个 缺点 ,尤其 是 许多 商 
业 蜜 镀 。 指 纹 的 存在 使 得 攻击 者 能 鉴别 出 蜜 镀 的 存在 ,因为 蜜 镀 会 有 一 些 专 业 特征 和 行为 。 
如 果 黑 客 发 现 了 某 个 组 织 在 他 的 内 网 中 使 用 了 蜜 缸 ,他 就 有 可 能 对 蜜 锥 发 动 spoof 攻击 , 蜜 
饶 检 测 到 这 种 spoof 攻击 之 后 ,不 断 地 向 管理 员 发 送 错误 的 报警 信息 ,这样 黑 客 就 扰乱 了 视 
听 , 他 的 目标 很 有 可 能 是 一 个 真实 的 攻击 。 

第 三 个 缺点 是 蜜 缸 运行 时 的 风险 。 蜜 缸 将 风险 带 入 了 网 络 环境 中 。 这 个 风险 就 是 一 旦 
蜜 负 被 攻击 了 , 它 有 可 能 就 被 攻击 者 利用 作为 攻击 ,渗透 其 他 系统 或 组 织 的 跳板 。 
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8.8 人 侵 防 御 系 统 


8.8.1 入 侵 防 御 系 统 的 概念 


入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 是 近年 来 新 兴 的 一 种 网 络 安全 产品 。 
它 是 由 入 侵 检测 系统 发 展 而 来 , 兼 有 防火 墙 的 一 部 分 功能 。IPS 系统 包含 两 大 功能 模块 ， 
防火 墙 和 入 侵 检 测 。 从 功能 上 讲 ,IPS 是 传统 防火 墙 和 入 侵 检测 系统 的 组 合 , 它 对 和 人 侵 检 测 
模块 的 检测 结果 进行 动态 响应 ,将 检测 出 的 攻击 行为 在 位 于 网 络 出 人口 的 防火 墙 模块 上 进 
行 阻 断 。 然 而 ,IPS 并 不 是 防火 墙 和 入 侵 检测 系统 的 简单 组 合 , 它 是 一 种 有 取舍 地 吸取 了 防 
火 墙 和 入 侵 检测 系统 功能 的 一 个 新 产品 ,其 目的 是 为 网 络 提供 深层 次 的 有效 的 安全 防护 。 

当前 最 常见 的 入 侵 防 御 方 法 是 通过 网 络 人 侵 检 测 系统 和 防火 墙 的 联动 来 实现 的 。 当 人 
侵 检 测 系 统 发 现 攻击 企图 后 , 它 会 通知 防火 墙 将 攻击 来 源 的 IP 地 址 或 端口 禁止 。 最 初 联动 
的 概念 是 防火 墙 厂商 Check Point 提出 的 ,Check Point 提出 了 OPSEC 开放 接口 ,与 其 他 厂 
商 密切 合作 ,实现 了 Check Point 防火 墙 和 身份 认证 .内容 安全 .入 侵 检 测 等 产品 的 互动 。 
现在 市 场 上 的 主流 网 络 人 侵 检 测 产品 ,例如 NFR NID、SecoShield 等 ,几乎 都 可 以 和 
CheckPoint 防火 墙 进行 互动 。 

目前 防火 墙 加 入 侵 检 测 产品 联动 的 方式 也 有 一 些 不 足 。 首 先 , 使 用 两 个 产品 防御 攻击 
会 使 系统 很 复杂 ,任何 一 个 产品 发 生 故障 都 会 导致 安全 防范 体系 的 骨 溃 ,而 且 两 个 产品 的 维 
护 成 本 也 比较 高 。 其 次 ,防火 墙 和 入 侵 检测 产品 的 互动 并 没有 一 个 被 广泛 认可 的 通用 标准 ， 
大 多 数 安全 厂商 各 行 其 是 ,入 侵 检测 产品 厂商 只 与 自己 感 兴趣 的 防火 墙 进行 互动 ,而 防火 墙 
厂商 提出 的 开放 接口 却 又 互 不 相同 。 没 有 一 个 通用 的 标准 可 以 让 所 有 的 入 侵 检 测 产品 和 所 
有 的 防火 墙 进行 互动 。 这 样 , 用 户 在 采购 安全 产品 的 时 候 , 不 得 不 考虑 到 不 同 产品 的 交互 性 
问题 ,从 而 限制 了 用 户 选择 产品 的 范围 。 


8.8.2 基于 网 络 的 入 侵 防 御 系 统 


网 络 入 侵 防御 系统 (Network-based Intrusion Prevention System,NIPS) 与 受 保护 网 段 
是 串联 部 署 的 。 受 保 护 的 网 段 与 其 他 网 络 之 间 交 互 的 数据 流 都 必须 通过 NIPS 设备 。 当 通 
信 ( 指 网 络 流量 ) 通 过 NIPS 时 ,通信 将 被 监视 是 否 存在 攻击 。 各 种 系统 的 攻击 检测 机 制 是 
不 一 样 的 ,但 是 最 精确 的 系统 通常 集成 了 多 种 技术 ,可 以 达到 很 高 的 攻击 和 误 用 检测 水 准 。 
极 高 的 精确 性 和 高 级 别 的 性 能 ,对 有 效 的 NIPS 是 至 关 重 要 的 ,因为 攻击 的 误 报 将 导致 合法 
的 通信 被 阻 断 ,也 就 是 可 能 出 现 拒绝 服务 的 情形 。 高 性 能 是 保证 合法 通信 通过 NIPS 时 不 
会 延迟 。 当 检测 到 攻击 时 ,NIPS 丢弃 或 阻 断 含有 攻击 性 的 数据 ,进而 阻 断 了 攻击 。 

NIPS 兼 有 IDS、 防 火 墙 和 反 病 毒 等 安全 组 件 的 特性 .有 时 亦 被 称 为 内 咀 式 (inline)IDS 
或 网 关 式 (gateway)IDS。 尽 管 下 一 代 防 火 墙 一 一 深层 检测 (Deep Inspection) 防 火 墙 还 不 能 
成 为 主流 网 络 安全 设施 .但 也 有 同 NIPS 相似 的 特性 。 正 如 一 个 典型 的 防火 墙 ,NIPS 至 少 
有 两 个 网 卡 ,一 个 连接 内 部 网 络 , 男 一 个 连接 外 部 网 络 。 当 数据 包 经 过 任何 一 个 网 卡 接 口 ， 
NIPS 将 把 它们 传递 到 检测 引擎 。 在 这 一 点 上 ,IPS 的 检索 引擎 同 任何 IDS 一 样 ,将 确定 此 
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包 是 否 包含 威胁 网 络 安 全 的 特征 。 但 是 ,与 IDS 不 同 的 是 , 当 检测 到 一 个 恶意 的 数据 包 时 ， 
IPS 不 但 发 出 警报 ,还 可 以 丢弃 此 包 ,或 阻 断 此 会 话 (session) 。 当 该 特殊 TCP 会 话 流 的 其 他 
数据 包 到 达 NIPS 时 ,数据 包 将 被 立即 丢弃 。 合 法 数据 包 通 过 另 一 个 接口 传递 到 目的 主机 。 

在 技术 上 ,NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技 术 , 包 括 特 征 匹配 、 协 议 分 析 和 异常 检 
测 。 特 征 匹 配 是 最 广泛 应 用 的 技术 ,具有 准确 率 高 .速度 快 的 特点 。 基 于 状态 的 特征 匹配 不 
但 检测 攻击 行为 的 特征 ,还 要 检查 当前 网 络 的 会 话 状 态 , 避 免 受到 欺骗 攻击 。 协 议 分 析 是 一 
种 较 新 的 入 侵 检 测 技术 , 它 充 分 利用 网 络 协议 的 高 度 有 序 性 ,并 结合 高 速 数据 包 捕 提 和 协议 
分 析 , 来 快速 检测 某 种 攻击 特征 。 协 议 分 析 正 在 逐渐 进入 成 熟 应 用 阶段 。 协 议 分 析 能 够 理 
解 不 同 协议 的 工作 原理 ,以 此 分 析 这 些 协 议 的 数据 包 , 来 寻找 可 疑 或 不 正常 的 访问 行为 。 协 
议 分 析 不 仅仅 基于 协议 标准 (如 RFC) ,还 可 基于 协议 的 具体 实现 ,这 是 因为 很 多 协议 的 实 
现 偏离 了 协议 标准 。 通 过 协议 分 析 ,IPS 能 够 针对 插入 (insertion) 与 规避 (evasion) 攻 击 进 
行 检测 。 异 常 检测 的 误 报 率 比较 高 ,NIPS 不 将 其 作为 主要 技术 。 

总 的 来 说 ,NIPS 具有 以 下 优点 。 

(1) 单个 通信 和 (流量) 控制 点 可 以 保护 成 千 的 位 于 NIPS 下 面 的 系统 。 这 样 ,组 织 , 企 业 
就 可 以 很 快 地 改变 网 络 规模 和 更 加 灵活 地 改变 网 络 的 体系 结构 。 

(2) NIPS 设备 像 单 个 探测 器 (sensor) ,易于 部 署 , 可 以 保护 成 百 上 千 的 系统 。 部 署 几 
个 或 几 十 个 探测 器 比 在 成 百 上 千 的 系统 上 安装 软件 ,要 省 去 很 多 的 时 间 和 精力 。 

(3) 提供 一 个 更 宽 的 视野 ,可 以 发 现 威胁 情形 ,例如 扫描 .探测 .攻击 基于 非 单一 系统 的 
设备 。 

(4) 保护 非 计算 机 类 的 网 络 设 备 。 并 非 所 有 的 攻击 都 是 针对 受 HIPS 保护 的 .运行 操 
作 系 统 的 计算 机 。 例 如 ,路 由 器 防火墙.VPN 网 关 、 打 印 机 等 ,都 是 很 容易 受 攻击 的 ,它们 
都 需要 保护 。 

(5) 与 平台 无 关 。NIPS 可 以 保护 所 有 设备 ,不 管 是 什么 操作 系统 或 应 用 程序 。 

(6) 防止 网 络 拒绝 服务 攻击 、 分 布 式 拒绝 服务 攻击 、 面 向 带宽 的 (bandwidth-oriented) 
攻击 、 同 步 洪水 (SYN flood) 攻 击 。 攻 击 的 一 种 形式 就 是 向 网 络 发 送 大 量 的 洪水 般 的 无 关 
的 通信 ,造成 网 络 对 授权 的 (合法 的 ) 用 户 不 可 用 ,或 网 络 性 能 大 幅度 降低 。 工 作 在 网 络 层 ， 
NIPS 可 以 保护 系统 免 受 于 这 些 类 型 的 攻击 。 


8.8.3 ”基于 主机 的 入 侵 防 御 系 统 


正如 基于 主机 的 入 侵 监 测 系统 ,基于 主机 的 入 侵 防 御 系 统 (Host-based Intrusion 
Prevention System, HIPS) 是 直接 安装 在 正 受 保护 的 机 器 上 的 代理 (程序 ) ,检测 并 阻挡 针对 
本 机 的 威胁 和 攻击 。 它 与 操作 系统 内 核 紧 密 拥 绑 在 一 起 ,监视 和 窃听 API 或 到 内 核 的 系统 调 
用 ,阻挡 攻击 ,并 记录 上 日志。 同时 , 它 还 监视 针对 某 一 特殊 应 用 的 数据 流 和 环境 变化 ,例如 Web 
服务 器 的 文件 位 置 及 注册 表 设 置 , 保 护 应 用 程序 免 受 那些 目前 还 没有 特征 的 攻击 。 进 出 这 个 
特殊 系统 的 通信 和 应 用 程序 ,操作 系统 的 行为 将 被 监视 和 检查 .判断 其 是 否 存 在 攻击 迹象 。 

HIPS 不 仅 可 以 保护 操作 系统 ,还 可 以 保护 在 其 上 运行 的 应 用 程序 ,例如 Web 服务 器 。 
当 检 测 到 攻击 ,HIPS 软件 程序 要 么 在 网 络 接 口 层 阻 断 攻击 ,要 么 向 应 用 程序 或 操作 系统 发 
出 命令 ,停止 攻击 所 引起 的 行为 。 例 如 ,通过 禁止 恶意 程序 的 执行 .可 以 防止 缓冲 区 溢出 攻 
击 。 通 过 拦截 和 拒绝 IE 发 出 的 写 文 件 命令 ,可 以 阻挡 攻击 者 试图 通过 IE 这 样 的 应 用 程序 
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安装 后 门 程序 。 

这 种 方法 带 来 的 缺点 就 是 ,与 主机 的 操作 系统 必须 紧 紧 地 集成 在 一 起 ,一旦 操作 系统 升 
级 ,将 会 带 来 问题 。 

HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ,防止 网 络 攻击 人 侵 操作 系统 以 及 应 用 
程序 。 基 于 主机 的 和 人 侵 防护 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 。 基 于 主机 的 
入 侵 防护 技术 可 以 根据 自 定 义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服务 器 .主机 发 起 的 
恶意 入 侵 。HIPS 可 以 阻 断 缓冲 区 溢出 改变 登录 口令 改写 动态 链接 库 以 及 其 他 试图 从 操 
作 系 统 夺取 控制 权 的 入侵 行 为 ,整体 提升 主机 的 安全 水 平 。 

在 技术 上 ,HIPS 采用 独特 的 服务 器 保护 途径 ,利用 由 包 过 滤 、 状 态 包 检 测 和 实时 入 侵 
检测 组 成 分 层 防护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 ,最 大 限度 地 保护 服务 
器 的 敏感 内 容 , 既 可 以 以 软件 形式 嵌入 到 应 用 程序 对 操作 系统 的 调用 当中 ,通过 拦截 针对 操 
作 系 统 的 可 疑 调 用 ,提供 对 主机 的 安全 防护 ; 也 可 以 以 更 改 操作 系统 内 核 程序 的 方式 ,提供 
比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 , 它 不 但 能 够 利用 特征 和 行为 规则 检测 , 阻 
止 诸如 缓冲 区 溢出 之 类 的 已 知 攻击 ,还 能 够 防范 未 知 攻击 ,防止 针对 Web 页 面 . 应 用 和 资源 
的 未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ,不 同 的 平 
台 需 要 不 同 的 软件 代理 程序 。 

HIPS 具有 以 下 优点 。 

(1) 软件 直接 安装 在 系统 上 ,可 以 保护 系统 免 受 攻击 ,例如 阻 断 程序 写 文件 ,阻止 用 户 
特权 的 升级 。 

(2) 当 移动 系统 依附 在 受 保护 网 络 的 外 部 时 ,保护 它们 免 受 攻击 。 蠕 虫 病毒 主要 是 无 
线 上 网 的 笔记 本 电脑 带 入 受 保护 网 络 。 为 移动 的 系统 装 一 个 NIPS 是 不 实际 的 。 

(3) 保护 系统 免 受 本 地 攻击 。 可 以 物理 (直接 ) 访 问 系统 的 人 ,可 以 通过 执行 软盘 、CD 
或 本 地 的 程序 ,发 动 本 地 攻击 。 这 些 攻击 通常 是 为 了 把 用 户 权限 提升 到 超级 用 户 (root) 或 
管理 员 (administrator) 的 权限 ,便于 危及 网 络 中 的 其 他 系统 。 

(4) 提供 最 后 一 道 防线 (Clast line of defense) ,使 系统 免 受 其 他 安全 工具 检测 的 攻击 。 
目标 受害 者 系统 本 身 是 安全 人 员 防 止 系统 受 危 及 的 最 后 一 个 防御 点 。 

(5) 防止 相同 网 段 上 的 系统 .设备 受到 内 部 攻击 或 滥用 ,NIPS 只 能 保护 在 不 同 网 段 间 
移动 的 数据 。 在 同 网 段 系 统 间 发 动 的 攻击 只 能 被 HIPS 检测 到 。 

(6) 保护 系统 免 受 于 加 密 的 攻击 , 受 保护 系统 正 是 加 密 数 据 流 的 终点 。HIPS 等 加 密 的 
数据 在 本 机 解密 后 ,检查 数据 及 其 行为 ,或 系统 的 活动 。 

(7) HIPS 独立 于 网 络 体系 结构 ,允许 需要 保护 的 系统 位 于 过 时 的 或 不 常用 的 网 络 体 
系 ,如 令 牌 环 网 (token ring) .FDDI 等 。 


习题 8 


1. 什么 是 入 侵 检 测 系 统 ? 
2. 试 说 明 入 侵 检测 系统 的 基本 功能 。 


- 
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3. 基于 网 络 的 和 人 侵 检测 系统 与 基于 主机 的 入侵 检测 系统 各 有 什么 特点 ? 
4. 什么 是 异常 检测 ? 

5. 简单 描述 一 下 Snort 的 工作 原理 。 

6. 什么 是 蜜 饶 ? 简单 说 明 一 下 它 的 工作 原理 。 

7. 什么 是 应 急 响 应 组 ? 

8. 应 急 响 应 计划 分 为 哪 几 个 阶段 ? 

9. 什么 是 入 侵 防御 系统 ? 


10， 解释 一 下 入 侵 防御 系统 的 工作 原理 。 


第 ?9 章 电子 邮件 安全 


随 着 因特网 的 普及 ,电子 邮件 以 其 方便 、 快 捷 、 便 宜 、 容 易 存 储 和 管理 的 特点 ,成 为 人 们 
联系 沟通 的 重要 手段 ,而 电子 邮件 的 安全 问题 也 越 来 越 得 到 使 用 者 的 重视 。 但 现在 对 电子 
邮件 的 攻击 现象 越 来 越 多 ,破坏 力也 越 来 越 强 。 传 统 的 电子 邮件 存在 的 若干 不 安全 因素 如 
邮件 可 能 在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 芝 改 或 截获 ,发 信者 的 身份 可 能 被 人 伪造 
等 ,使 得 真正 重要 的 信息 仍然 不 宜 通过 电子 邮件 来 传递 。 


9.1 电子 邮件 安全 概述 


9.1.1 电子 邮件 的 安全 需求 


安全 电子 邮件 就 是 运用 各 种 安全 模块 来 保障 邮件 在 Internet 传送 过 程 中 的 安全 性 , 通 

常安 全 性 体现 在 : 

。 机 密 性 : 利用 收 件 人 的 数字 证 书 完成 对 电子 邮件 加 密 。 加 密 后 ,只 有 收 件 人 才能 阅 
读 加 密 的 邮件 。 这 样 ,在 Internet 上 传递 的 电子 邮件 信息 将 不 会 被 人 窃取 ,即使 发 
错 邮件 , 收 件 人 也 无 法 看 到 邮件 信息 。 

。 认证 性 : 在 Internet 上 传递 电子 邮件 的 双方 互相 不 能 见面 ,所 以 必须 有 方法 确定 发 
件 人 的 身份 。 发 件 人 在 发 信 前 对 电子 邮件 进行 数字 签名 , 收 信人 便 可 据 此 确定 发 件 
人 身份 ,而 不 是 他 人 冒充 的 。 

。 完整 性 : 发 件 人 对 电子 邮件 进行 数字 签名 不 仅 可 确定 发 件 人 身份 ,而 且 可 以 保证 发 
出 的 信息 与 接收 到 的 完全 一 样 , 收 信人 能 够 通过 验证 数字 签名 来 确保 邮件 完整 性 。 

。 不 可 否认 性 : 由 于 发 件 人 对 电子 邮件 进行 的 数字 签名 是 唯一 的 , 故 发 件 人 无 法 否认 
发 过 这 个 电子 邮件 。 


9.1.2 安全 电子 邮件 标准 


邮件 协议 主要 描述 电子 邮件 发 送 端 和 接收 端 之 间 的 传输 过 程 以 及 定义 邮件 消息 格式 。 
与 电子 邮件 有 关 的 协议 和 标准 主要 有 以 下 三 个 。 

1. PEM(Privacy Enhanced Mail) 增 强 型 邮件 保密 标准 

PEM 标准 是 由 美国 RSA 实验 室 基 于 RSA 和 DES 算法 而 开发 的 安全 电子 邮件 的 早期 
标准 。PEM 在 Internet 电子 邮件 的 标准 格式 上 增加 了 加 密 、 认 证 和 密 钥 管理 的 功能 。 这 个 
设计 经 过 了 几 次 更 新 ,有 关 它 的 最 后 的 更 新 可 参阅 RFC1421-1424。 由 于 PME 依赖 于 一 个 
即 存 的 、 完 全 可 操作 的 PKI, 而 建立 一 个 符合 PEM 规范 的 PKI 需要 很 长 的 过 程 ,这 些 大 大 
限制 了 PEM 的 发 展 ,现在 几乎 已 经 没有 人 在 用 了 。 
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2. MOSS(MIME Object Security Services)MIME 对 和 象 安全 服务 标准 

MOSS 针对 PEM 的 不 足 做 了 一 些 改进 , 它 改 变 了 PEM 只 支持 文本 信息 的 局 面 , 支 持 
了 MIME ,将 PEM 和 MIME 两 者 的 特性 进行 了 结合 ,参见 RFC1848。 但 MOSS 有 很 多 的 
执行 选项 ,这 有 可 能 导致 两 个 不 同 的 开发 人 员 提 出 的 两 种 MOSS 邮件 无 法 沟通 。 可 以 说 ， 
MOSS 往往 被 认为 是 一 种 框架 而 不 是 一 个 规范 ,在 实现 时 还 要 考虑 许多 实际 的 问题 ,因此 
也 没有 被 业界 广泛 使 用 。 

3. PGP(Pretty Good Privacy) 高 质量 保密 标准 

PGP 既是 一 个 特定 的 安全 电子 邮件 应 用 ,也 是 一 个 安全 电子 邮件 标准 。PGP 符合 
PEM 的 绝 大 多 数 规范 ,但 不 必要 求 PKI 的 存在 。 它 创造 性 地 把 RSA 公 钥 体系 的 方便 和 传 
统 加 密 体系 的 高 速度 结合 起 来 ,并 在 数字 签名 和 密 钥 认 证 管理 机 制 上 有 非常 巧妙 的 设计 。 
它 不 仅 功 能 强大 ,速度 很 快 ,并 且 源 代码 公开 。 

4. S/MIME(Secure/Multipurpose Internet Mail Extension) 安 全 /多 用 途 因特网 

邮件 扩展 标准 

S/MIME 是 在 PEM 的 基础 上 建立 起 来 的 ,但 是 它 发 展 的 方向 与 MOSS 不 同 。 它 选择 
使 用 RSA 的 PKSCpublic-key cryptography standards) #7 标准 ,与 MIME 一 起 来 保护 电子 
邮件 信息 。S/MIME 已 经 成 为 产业 界 广泛 认可 的 协议 ,如 Microsoft 公司 ,Netscape 公司 、 
Novell 公司 .Lotus 公司 等 都 支持 该 协议 。 

MOSS 和 PEM 是 没有 被 广泛 实现 的 标准 ,目前 的 Internet 上 ,有 两 套 成 型 的 端 到 端 安 
全 电子 邮件 标准 : PGP 和 S/MIME。 因此 这 里 主要 介绍 PGP 和 S/MIME。 


9.2 电子 邮件 基本 原理 


一 个 电子 邮件 系统 如 图 9-1 所 示 ,有 两 个 主要 组 成 部 分 , 即 用 户 接口 和 邮件 传输 程序 。 


用 户 发 邮件 


1 


发 送 邮 件 的 
TCP 连 接 


发 送 邮 件 


接受 邮件 的 
TCP 连 接 
端口 号 25 


用 户 读 邮 件 


服务 器 
(接收 邮件 ) 


图 9-1 电子 邮件 系统 


用 户 接口 是 一 个 在 本 地 运行 的 程序 ,又 称 为 用 户 代 理 (User Agent,UA) , 它 使 用 户 能 
够 通过 一 个 很 友好 的 接口 (目前 主要 是 用 窗口 界面 ) 来 发 送 邮 件 和 接收 邮件 。 用 户 接 口 部 分 
至 少 应 当 具 有 撰写 .显示 及 处 理 邮 件 这 三 个 功能 。 

邮件 传输 程序 在 后 台 运 行 , 它 将 邮件 通过 网 络 发 送 给 对 方 主机 ,并 从 网 络 接收 邮件 。 邮 
件 传输 程序 又 称 为 消息 传输 代理 (Message Transfer Agent, MTA), 它 具有 传输 、 接 收 和 报 
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告 的 功能 。 

电子 邮件 在 传输 过 程 中 ,往往 需要 经 过 多 个 节点 。 因 此 每 一 个 网 络 节点 都 要 安装 邮件 
传输 程序 , 即 MTA ,以 便 对 邮件 进行 存储 转发 。Internet 中 的 MTA 的 集合 构成 了 消息 传 
输 系统 (Message Transfer System,MTS) 。 

电子 邮件 传输 机 制 如 图 9-2 所 示 。 


MTA MTA 
SMTP SMTP NAN 
MTA MTA 
POP3 
SOA IMAP4 1 
UA UA 


9-2 ”电子 邮件 传输 机 制 


发 送 方 用 UA 创建 一 个 电子 邮件 ,经 本 地 的 MTA 发 送 ,再 经 MTS 传输 至 接收 方 的 
MTA 进行 接收 ,并 使 用 接受 者 的 UA 显示 出 消息 。 

电子 邮件 系统 的 核心 是 MTA。 一 个 MTA 通过 TCP 连接 与 另 一 个 MTA 进行 通信 ， 
大 部 分 Internet 的 MTA 使 用 SMTP 协议 发 送 邮 件 `.POP 协议 收 邮件 并 采用 MIME 进行 
编码 。 


9.3 电子 邮件 面临 的 威胁 


电子 邮件 在 Internet 上 是 从 一 台 机 器 传输 到 另 一 台 机 器 。 在 这 种 方式 下 ,电子 邮件 所 
经 过 的 网 络 上 的 任 一 系统 管理 员 都 有 可 能 截获 或 更 改 该 邮件 。 目 前 电子 邮件 主要 存在 以 下 
几 种 安全 性 问题 。 

1. 窃听 


因为 电子 邮件 需要 在 网 络 上 传播 .所 以 很 容易 成 为 窃听 的 目标 。 根 据 电 子 邮 件 的 传输 
机 制 , 进 行窃 听 是 很 容易 的 ,窃听 不 仅 可 以 出 现在 局 域 网 ,在 客户 机 和 服务 器 之 间 的 所 有 点 
上 都 有 可 能 存在 。 邮 件 内 容 和 信封 的 内 容 都 可 以 被 窃听 。 

2. 假冒 

SMTP 不 提供 任何 验证 机 制 ,所 以 伪造 和 自 改 电子 邮件 是 很 容易 的 。 伪 造 者 只 要 给 
SMTP 服务 器 提供 合适 的 信封 信息 (如 发 送 方 或 接收 方 电子 邮件 地 址 ) ,并 使 用 想 要 的 数据 
产生 有 关 的 信件 即 可 。 与 假冒 相关 的 另 一 个 安全 问题 是 抵赖 问题 ,因为 信件 可 以 伪造 ,发 送 
方 可 以 否认 他 曾经 发 送 过 某 个 信件 。 
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3. 拒绝 服务 攻击 

这 种 攻击 通过 破坏 机 器 之 间 的 网 络 通 信 ,或 者 是 通过 耗 用 邮件 服务 器 上 的 资源 ,如 磁盘 
空间 、 内 存 等 实现 。 

4. 恶意 邮件 

例如 邮件 附件 中 附带 有 病毒 .蠕虫 .木马 程序 以 及 大 量 的 垃圾 邮件 ,会 对 接收 方 的 计算 
机 系统 和 整个 计算 机 网 络 带 来 严重 破坏 。 


9.4 PGP 


PGP(Pretty Good Privacy) 是 一 个 基于 RSA 公 钥 密码 体系 的 邮件 安全 软件 。 可 以 用 
它 对 邮件 加 密 以 防止 非 授权 者 阅读 ,对 邮件 进行 数字 签名 从 而 使 收 信 人 可 以 确认 邮件 的 发 
送 者 ,并 能 确信 邮件 没有 被 臭 改 。 它 可 以 提供 一 种 安全 的 通信 方式 ,而 事先 并 不 需要 任何 保 
密 的 渠道 用 来 传递 密 钥 ,而且 它 的 源 代码 是 免费 的 。 


9.4.1 PGP 概述 


PGP 主要 是 Zimmermann 一 个 人 的 贡献 ,PGP 提供 了 一 种 机 密 性 和 鉴别 的 服务 ,可 以 
用 于 电子 邮件 和 文件 存储 的 应 用 。Zimmermann 主要 做 了 下 面 一 些 工 作 : 

(1) 选择 最 好 的 、 可 用 的 加 密 算法 作为 基础 构件 ; 

(2) 将 这 些 算法 集成 起 来 ,形成 一 个 通用 的 独立 于 操作 系统 和 处 理 器 的 应 用 程序 ,该 应 
用 程序 基于 易于 使 用 的 命令 构成 的 小 集合 ; 

(3) 制作 了 软件 包 和 相应 的 文档 ,包括 源 代码 ,通过 Internet、 电 子 公 告 牌 和 如 
Compuserve 的 商业 网 ,免费 提供 给 用 户 ; 

(4) 和 公司 签订 了 合同 ,提供 PGP 的 完全 兼容 的 、 低 价格 的 商用 版 本 。 

PGP 发 展 非常 迅速 ,现在 已 经 被 广泛 应 用 。PGP 得 到 快速 发 展 有 以 下 一 些 原 因 。 

(1) 可 免费 得 到 ,包括 运行 在 不 同 平台 的 多 个 版 本 ,诸如 : DOS/Windows, UNIX， 
Macintosh 等 。 另 外 ,商用 版 本 满足 了 那些 想 要 获得 厂家 技术 支持 的 用 户 的 需要 。 

(2) 建立 在 一 些 经 过 公开 评议 ,被 认为 是 非常 安全 的 算法 的 基础 上 。 具 体 来 说 ,PGP 软 
件 包 包括 了 公开 密 钥 的 RSA ,DSS 和 Diffie-Hellman 加 密 算 法 ; 常规 的 CAST-128,IDEA 
和 3DES 加 密 算 法 ; 以 及 散 列 编码 的 SHA-1 算法 。 

(3) PGP 的 应 用 范围 非常 广 , 从 想 要 选择 和 实施 一 个 标准 模式 来 加 密 文件 和 消息 的 公 
司 到 想 要 通过 Internet 或 其 他 网 络 和 他 人 进行 安全 通信 的 个 人 都 可 以 使 用 。 

(4) 不 是 任何 政府 或 标准 化 组 织 开发 的 ,因而 也 不 会 被 它们 控制 。 对 于 那些 本 质 上 不 
信任 任何 “组 织 机 构 ”"* 的 人 来 说 ,PGP 很 具有 吸引 力 。 


9.4.2 PGP 提供 的 安全 服务 


与 密 钥 的 管理 相 比 ,PGP 的 实际 操作 由 五 种 服务 组 成 : 鉴别 .机 密 性 、 压 缩 电 子 邮 件 的 
兼容 性 和 分 段 ( 见 表 9-1)。 
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表 9-1 PGP 服务 一 览 表 


功 能 使 用 的 算法 描 述 
使 用 SHA-1 创建 的 消息 的 散 列 编码 。 采 用 DSS 或 
数字 签名 DSS/SHA 或 RSA/SHA | RSA 算法 使 用 发 送 方 的 私有 密 钥 对 这 个 消息 摘要 进 


行 签名 ,并且 包 含 在 消息 中 
采用 CAST-128 或 IDEA 或 3DES, 使 用 发 送 方 生成 的 
-次 性 会 话 密 钥 对 消息 进行 加 密 , 采 用 Diffie-Hellman 


CAST 或 IDEA 或 3DES， 


息 加 密 有 Diffie-Hellman 算 
测 导 加 内 ! 算法 | 或 RSA, 使 用 接收 方 的 公开 密 钥 对 会 话 密 铀 进行 加 密 
并 包含 在 消息 中 
压缩 ZIP 消息 可 以 使 用 ZIP 进行 压缩 ,用 于 存储 或 传输 


为 了 提供 电子 邮件 应 用 的 透明 性 ,加 密 的 消息 可 以 使 
用 64 基 转 换算 法 转换 成 ASCII 字符 串 
为 了 满足 最 大 消息 长 度 的 限制 ,PGP 完成 消息 的 分 段 


电子 邮件 兼容 性 64 基 转 换 


分 最 和 重新 装配 
下 面 将 详细 介绍 这 五 种 服务 。 
首先 ,介绍 将 要 使 用 的 符号 。 
K,: session key; DC: 常规 解密 ; 
KR。: 用 户 A 的 私 钥 ; 五 : 散 列 函 数 ; 
KU,: 用 户 A 的 公 钥 ; 11: 连接 符 ; 
EP: 公 钥 加 密 机 制 ; Z: 用 ZIP 算法 压缩 ; 
DP: 公 钥 解密 机 制 ; R64: 用 radix64 转换 到 ASCII 格式 ; 
EC: 常规 加 密 ; M: 信件 。 
1. 鉴别 


图 9-3 显示 了 PGP 提供 的 数字 签名 服务 。 
图 9-3 显示 的 这 些 步骤 ,描述 如 下 : 

一 发 送 方 一 

Exno[ECMO] 


= KU 
一 | 

2 四 -一 

1 | VO 四 CD 比 对 是 否 相 符 


二 
-人 


接收 方 


9-3 ”PGP 数字 签名 


发 送 方 创建 消息 M。 

@ 发 送 方 一 端的 PGP 机 制 用 SHA-1、MD5 等 Hash 函数 来 生成 消息 的 160b 散 列 
代码 。 

@ 使 用 发 送 方 的 私有 密 钥 ,采用 RSA 算法 对 散 列 代码 进行 加 密 ( 数 字 签名 ) ,结果 串 接 
在 消息 的 前 面 一 起 发 送 到 接收 方 一 端 。 
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@ 接收 方 收 到 传送 的 消息 后 ,使 用 发 送 方 的 公开 密 钥 ,采用 RSA 解密 和 恢复 散 列 
代码 。 

@ 接收 方 将 收 到 的 消息 生成 新 的 散 列 代码 ,并 与 被 解密 的 散 列 代码 相 比较 。 如 果 两 者 
匹配 , 则 消息 作为 已 鉴别 的 消息 而 接受 。 

SHA-1 与 RSA 的 结合 提供 了 一 种 有 效 的 数字 签名 模式 。 由 于 RSA 的 强度 ,接收 方 可 
以 确认 只 有 私有 密 钥 的 拥有 者 才能 生成 该 签名 。 由 于 SHA-1 的 安全 强度 ,接收 方 可 以 相信 
没有 其 他 人 能 生成 新 消息 ,该 消息 能 够 匹配 散 列 代码 ,因而 匹配 原始 消息 的 签名 。 另 外 , 签 
名 也 可 以 使 用 DSS/SHA-1 作为 可 选 方案 来 生成 。 

一 般 来 说 ,签名 和 所 签 的 消息 或 文件 附加 在 一 起 ,但 分 离 的 签名 也 是 允许 的 。 例 如 用 户 
可 能 想 要 维护 一 个 单独 的 签名 日 志 , 其 中 包括 所 有 发 送 和 接收 的 消息 ; 另外 ,可 执行 程序 的 
分 离 签 名 可 以 检测 出 随后 的 病毒 侵入 。 在 需要 多 方 签名 的 文档 上 ,如 法 律 合 同 , 可 以 用 分 离 
签名 ,每 个 人 的 签名 是 独立 的 ,因而 可 以 只 应 用 于 文档 。 和 否则 ,签名 将 只 能 递归 使 用 ,第 二 个 
签名 对 文档 和 第 一 个 签名 进行 签名 , 依 此 类 推 。 

2. 机 密 性 

PGP 通过 对 消息 进行 加 密 来 保证 消息 的 机 密 性 。 加 密 的 方法 可 以 分 为 常规 的 对 称 密 
钥 加 密 和 公 钥 加 密 , 在 PGP 提供 机 密 性 服务 的 过 程 中 ,两 者 都 必须 应 用 。 在 PGP 中 ,每 个 
会 话 密 钥 只 使 用 一 次 , 即 对 每 个 消息 生成 新 的 128b 的 随机 数 。 因 为 在 文档 中 会 话 密 钥 是 一 
次 性 密 钥 ,只 被 使 用 一 次 ,所 以 会 话 密 钥 与 消息 绑 定 在 一 bp 起 传输 。 为 了 保护 密 
钥 ,使 用 接收 方 的 公开 密 钥 对 它 进行 加 密 。 图 9-4 显示 了 这 一 步骤 ,描述 如 下 : 

发 信 方 一 收 信 方 
ExvolKs] KR 


K, 、 
i? 人 
-人 (9 EC 1 加 
Coc 一 (2 
图 9-4 PGP 加 密 


Q@ 发 送 方 生成 消息 并 使 用 随机 数 生 成 器 RNG 产生 128 b 的 对 称 密 钥 加 密 所 需 的 会 话 
密 钥 。 

@ 采用 CAST-128( 或 IDEA 或 3DES) 算 法 ,使 用 生成 的 会 话 密 钥 对 消息 进行 加 密 。 

@ 采用 RSA 算法 ,使 用 接收 方 的 公开 密 钥 对 会 话 密 钥 进 行 加 密 , 并 附加 到 消息 前 面 。 

@ 接收 方 采用 RSA 算法 ,使 用 自己 的 私有 密 钥 解密 得 到 会 话 密 钥 。 

@@ 使 用 解密 得 到 的 会 话 密 钥 来 解密 消息 。 

除了 使 用 RSA 对 密 钥 加 密 之 外 ,PGP 提供 了 另 一 种 称 为 Diffie-Hellman 的 密 钥 交换 算 
法 。 实 际 上 ,PGP 使 用 的 是 Diffie-Hellman 的 提供 加 密 / 解 密 的 变 体 。CAST-128 和 其 他 常 
规 算法 比 RSA 要 快 得 多 ,为 了 减少 加 密 的 时 间 ,对 称 密 钥 加 密 和 公 钥 加 密 结合 使 用 比 直接 
使 用 RSA 来 加 密 消息 更 好 。 使 用 公开 密 钥 算法 解决 了 会 话 密 钥 分 配 问题 ,因为 只 有 接收 方 
才能 恢复 绑 定 到 消息 上 的 会 话 密 钥 。 考 虑 到 电子 邮件 的 存储 转发 特性 ,使 用 握手 协议 来 保 
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证 双方 具有 相同 会 话 密 钥 的 方法 是 不 现实 的 。 相 反 ,每 个 消息 都 是 一 次 性 的 , 带 有 自己 密 钥 
的 独立 事件 。 使 用 一 次 性 的 常规 密 钥 加 强 了 已 经 是 很 强 的 常规 加 密 方 法 。 

3. 机 密 性 与 鉴别 

如 图 9-5 所 示 ,对 消息 可 以 同时 使 用 机 密 性 与 鉴别 两 个 服务 。 首 先 ,为 明文 消息 生成 签 
名 并 附加 到 消息 首部 。 然 后 使 用 CAST-128 (或 IDEA 或 3DES) 对 明文 消息 和 签名 进行 加 
密 , 再 使 用 RSA 对 会 话 密 钥 进 行 加 密 。 在 这 里 要 注意 次 序 , 如 果 先 加 密 再 签名 的 话 , 别 人 可 
以 将 签名 去 掉 后 签 上 自己 的 签名 ,从 而 自 改 签名 。 


人 


图 9-5 ”PGP 加 密 并 签名 


总 之 , 当 同 时 使 用 机 密 性 和 鉴别 两 个 服务 时 ,发送 方 首先 用 自己 的 私有 密 钥 为 消息 签 
名 ,然后 使 用 会 话 密 钥 对 消息 加 密 ,接着 再 用 接收 方 的 公开 密 钥 对 会 话 密 钥 进行 加 密 。 

4. 压缩 

PGP 在 加 密 前 进行 预 压缩 处 理 ,PGP 内 核 使 用 PKZIP 算法 压缩 加 密 前 的 明文 。 一 方 
面 对 电 子 邮 件 而 言 , 压 缩 后 再 经 过 radix-64 编码 有 可 能 比 明 文 更 短 ,这 就 节省 了 网 络 传输 的 
时 间 和 存储 空间 ; 另 一 方面 ,明文 经 过 压缩 ,实际 上 相当 于 经 过 一 次 变换 ,对 明文 攻击 的 抵 
御 能 力 更 强 。 

5. 电子 邮件 的 兼容 性 

当 使 用 PGP 时 ,至 少 传输 消息 的 一 部 分 需要 被 加 密 。 如 果 只 使 用 签名 服务 ,那么 消息 
摘要 被 加 密 ( 使 用 发 送 方 的 私有 密码 ) 。 如 果 使 用 机 密 性 服务 ,消息 加 上 签名 (如 果 存 在 ) 被 
加 密 ( 使 用 一 次 性 的 对 称 密码 ) 。 因 此 ,部 分 或 全 部 的 结果 消息 由 任意 的 8b 字 节 流 组 成 。 但 
是 ,很 多 电子 邮件 系统 只 允许 使 用 由 ASCII 正文 组 成 的 块 。 为 了 满足 这 一 约束 ,PGP 提供 
了 将 原始 8b 二 进 制 流转 换 成 可 打印 ASCII 字符 的 服务 。 

为 这 一 目的 采用 的 方案 是 radix-64( 也 是 基数 64) 转 换 , 每 三 个 字 节 的 二 进 制 数据 为 一 
组 映射 成 四 个 ASCII 字符 。 这 种 格式 还 附加 了 CRC 校 验 来 检测 传输 错误 。 

使 用 radix-64 将 消息 的 长 度 扩 充 了 33%”。 幸 运 的 是 消息 的 会 话 密 钥 和 签名 部 分 相对 
紧 姿 ,并且 明 文 消息 已 经 进行 了 压缩 。 实 际 上 压缩 足以 补偿 radix-64 的 扩展 。 

radix-64 算法 的 一 个 值得 注意 的 方面 是 它 盲目 地 将 输入 流转 换 成 radix-64 的 格式 ,而 
不 管 输入 流 的 内 容 , 即 使 输入 流 正 好 是 ASCII 正文 。 因 此 ,如 果 消 息 被 签名 但 还 没有 被 加 
密 ,并 且 对 整个 分 组 应 用 上 述 转换 ,输出 的 结果 对 于 偶然 的 观察 者 是 不 可 读 的 ,这 提供 了 一 
定 程度 的 机 密 性 。 作 为 选项 ,PGP 可 以 配置 成 只 将 签名 的 明文 消息 的 签名 部 分 转换 成 
radix-64 的 格式 ,这 可 以 使 得 接收 消息 的 人 不 使 用 PGP 就 能 阅读 消息 。 当 然 , 必 须 使 用 
PGP 才能 验证 签名 。 
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6. 分 段 和 重 装 

电子 邮件 设施 经 常 受 限 于 最 大 的 消息 长 度 。 例 如 ,很 多 Internet 可 以 访问 的 设施 都 有 
最 大 50000 个 八 位 组 的 限制 。 任 何 长 度 超过 这 个 数值 的 消息 都 必须 划分 成 更 小 的 消息 段 ， 
每 个 段 单独 发 送 。 

为 了 满足 这 个 约束 ,PGP 自动 将 太 长 的 消息 划分 成 可 以 使 用 电子 邮件 发 送 的 足够 小 的 
消息 段 。 分 段 是 在 所 有 其 他 的 处 理 ( 包 括 radix-64 转换 ) 完 成 之 后 才 进 行 的 ,因此 会 话 密 钥 
部 分 和 签名 部 分 只 在 第 一 个 消息 段 的 开始 位 置 出 现 一 次 。 在 接收 端 ,PGP 必须 在 完成 图 9-5 
所 显示 的 步 又 之 前 剥 掉 所 有 的 电子 邮件 首部 ,并 且 重 新 装配 成 完整 的 原来 的 分 组 。 


9.4.3 PGP 消息 格式 及 收发 过 程 


消息 由 三 个 部 分 组 成 : 消息 部 分 .签名 (可 选 ) 和 会 话 密 钥 部 分 (可 选 ) ,如 图 9-6 所 示 。 


内 容 1 一 操作 | 
Key ID of recipient’s 


会 话 密 钥 信息 public key (KU;) 


1 (K,) ¢ Exkvp 


Key ID of recipient’s 
签名 信息 public key (KU,) 


Leading two octets 
Of message digest 
1 Message Digest ¢ EkRa 
Filename 


Timaestamp ZIP Eks R64 


邮件 消息 
Data 


9-6 ”PGP 消息 格式 


其 中 五 表示 进行 加 密 : ZIP 表示 进行 压缩 ; R64 表示 进行 64 基 转 换 。 

会 话 密 钥 信息 包括 : 会 话 密 钥 ,以 及 发 送 方 用 来 对 会 话 密 钥 加 密 的 接收 方 的 公开 密 钥 
的 标识 符 。 

签名 部 分 包括 下 面 一 些 成 分 。 

Q@ 时 间 截 : 签名 构造 的 时 间 。 

@ 消息 摘要 : 160b 的 SHA-1 摘要 ,使 用 发 送 方 的 私有 签名 密 钥 进行 加 密 。 摘 要 从 签 
名 时 间 蕉 算 起 一 直到 消息 部 分 的 数据 段 , 在 摘要 中 包括 签名 时 间 惟 是 为 了 防止 重 放 类 型 
的 攻击 。 排 除了 消息 部 分 的 文件 名 和 时 间 戳 段 是 为 了 保证 分 离 的 签名 和 附加 在 消息 前 面 的 
签名 完全 一 致 ,分 离 的 签名 是 在 单独 的 文件 上 计算 的 ,该 文件 没有 任何 消息 部 分 首部 的 
字段 。 

@ 消息 摘要 的 前 两 个 字 节 : 通过 将 这 两 个 字 节 的 明文 与 加 密 摘要 的 前 两 个 字 节 相 比 
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较 ,使 得 接收 方 可 以 决定 是 否 使 用 了 正确 的 公开 密 钥 。 这 些 八 位 组 还 作为 消息 的 16b 帧 检 
验 序列 。 

@ 发 送 方 公开 密 钥 的 密 钥 ID: 标识 了 应 该 用 来 解密 消息 摘要 的 公开 密 钥 , 因 此 ,标识 
了 用 来 加 密 消 息 摘 要 的 私有 密 钥 。 

消息 部 分 包括 了 文件 名 、 说 明 创建 时 间 的 时 间 戳 以 及 要 存储 或 传输 的 实际 的 数据 。 

下 面 介 绍 PGP 的 消息 收发 过 程 。 

1. 消息 发 送 

消息 发 送 如 图 9-7 所 示 。 

在 传送 时 ,如 果 需 要 ,使 用 明文 的 散 列 编码 生成 签名 。 然 后 ,一 起 压缩 明文 和 签名 (如 果 
存在 ) 。 接 下 来 ,如 果 需 要 机 密 性 , 则 把 压缩 过 的 明文 (加 签名 ) 分 组 加 密 , 并 且 在 前 面 附加 公 
开 密 钥 加 密 过 的 常规 加 密 密 钥 。 最 后 ,这 个 分 组 被 转换 成 radix-64 的 格式 。 

2. 消息 接收 处 理 

消息 接收 处 理 如 图 9-8 所 示 。 


X 一 消 息 


从 Radix-64 转 换 回来 
XR64-1[X] 


产生 数字 签名 


XsignaturellY 


站: 作 > 解密 key， 式 
机 密 性 ? KDkwwlKs] | DelX] 


- | 
解压 缩 X 一 2Z71(X) 


加 密 key,， 半 
XExrw[Ks] | Exs[X] Y 
N 
Radix-64 转 换 和 
XR64[X] 1 
9-7 PGP 消息 发 送 9-8 ”PGP 消息 接收 


在 接收 时 ,进入 的 分 组 首先 从 radix-64 转换 成 二 进 制 形式 。 然 后 ,如 果 消 息 被 加 过 密 ， 
接收 方 恢复 会 话 密 钥 并 解密 消息 。 接 着 ,对 结果 消息 解压 。 如 果 消 息 签 了 名 ,接收 方 恢 复 传 
输 过 来 的 散 列 编码 ,并 与 自己 计算 出 来 的 散 列 编码 进行 比较 。 

9.4.4 PGP 的 密 钥 管理 

PGP 密 钥 管理 主要 分 为 以 下 几 个 部 分 : 加 密 密 钥 和 密 钥 环 ,会 话 密 钥 的 生成 , 密 钥 环 ， 
公 钥 环 ,公开 密 钥 管理 ,信任 的 使 用 ,撤销 公 钥 。 

1. 加 密 密 钥 和 密 钥 环 

PGP 利用 了 四 种 类 型 的 密 钥 : 一 次 性 会 话 的 常规 密 钥 、 公 开 密 钥 、 私 有 密 钥 和 基于 口令 
短语 (passphrase) 的 常规 密 钥 (在 下 面 解释 )。 对 于 这 些 密 钥 存 在 以 下 需求 : 
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(1) 需要 生成 一 种 不 可 预测 的 会 话 密 钥 的 方法 。 

(2) 允许 用 户 拥 有 多 个 公开 /私有 密 钥 对 。 

理由 是 用 户 可 能 想 要 不 时 地 改变 他 或 她 的 密 钥 对 。 当 发 生 了 这 种 情况 时 ,管道 中 所 有 
消息 都 将 是 用 过 时 的 密 钥 构 造 的 。 此 外 ,接收 方 在 一 个 更 新 到 达 之 前 只 知道 旧 的 公开 密 钥 。 
为 了 满足 不 时 地 改变 密 钥 的 需要 ,在 给 定 的 时 刻 , 用 户 可 能 想 要 拥有 多 个 密 钥 对 来 和 不 同 的 
通信 组 交互 ,或 者 只 是 为 了 增强 安全 性 而 限制 密 钥 能 够 加 密 的 消息 的 数量 。 所 以 在 用 户 和 
他 们 的 公开 密 钥 之 间 不 存在 一 一 对 应 的 关系 。 因 此 ,需要 某 种 方法 来 标识 特定 的 密 钥 。 

(3) 每 个 PGP 实体 必须 维护 它 自己 的 公开 /私有 密 钥 对 的 文件 ,以 及 与 它 通 信者 的 公 
开 密 钥 文 件 。 

2. 会 话 密 钥 的 生成 

每 个 会 话 密 钥 都 和 一 个 消息 关联 ,并 且 只 是 为 了 加 密 和 解密 该 消息 而 使 用 。 消 息 的 加 
密 和 解密 是 采用 对 称 的 加 密 算法 来 完成 的 。CAST-128 和 IDEA 使 用 128b 密 钥 ; 3DES 使 
用 168b 的 密 钥 。 在 下 面 的 讨论 中 假定 使 用 CAST-128。 

随机 的 128b 数 是 使 用 CAST-128 本 身 来 生成 的 。 随 机 数 生成 器 的 输入 由 128b 密 钥 和 
两 个 看 做 是 要 加 密 的 明文 的 64b 分 组 组 成 的 。 使 用 加 密 反馈 模式 ,CAST-128 加 密 器 产生 
两 个 64b 密码 正文 分 组 ,这 两 个 分 组 串 接 起 来 形成 了 128b 会 话 密 钥 。PGP 的 会 话 密 钥 是 
个 随机 数 , 它 是 基于 ANSIX12. 17 的 算法 由 随机 数 生成 器 产生 的 。 随 机 数 生成 器 从 用 户 敲 
键盘 的 时 间 间 隔 上 取得 随机 数 种 子 。 所 以 这 里 使 用 的 算法 是 基于 ANSIX12. 17 所 描述 的 

随机 数 生成 器 的 两 个 64b 分 组 组 成 的 “明文 ?输入 本 身 也 是 从 128b 随机 化 的 数值 流 中 
推导 而 来 的 ,这 些 数值 依赖 于 用 户 的 击 键 输入 。 击 键 的 时 间 和 输入 的 字符 被 用 来 生成 随机 
化 的 数值 流 , 因 此 ,如 果 用 户 以 正常 速度 击 了 任意 键 ,将 会 生成 合理 的 “随机 ”输入 。 这 个 随 
机 输入 和 前 面 CAST-128 输出 的 会 话 密 钥 组 合 在 一 起 输入 到 生成 器 中 。 考 虑 到 CAST-128 
有 效 的 不 规则 性 ,产生 的 结果 就 是 不 可 预测 的 会 话 密 钥 的 序列 。 

前 面 提 到 ,加 密 消息 伴随 着 加 密 形式 使 用 会 话 密 钥 。 会 话 密 钥 本 身 使 用 接收 方 的 公开 
密 钥 进 行 加 密 , 因 此 只 有 接收 方才 能 恢复 会 话 密 钥 , 因 而 能 够 恢复 消息 。 如 果 用 户 配置 了 单 
个 的 公开 /私有 密 钥 对 ,那么 接收 方 将 自动 知道 使 用 哪个 私有 密 钥 来 解密 会 话 密 钥 。 然 而 ， 
前 面 说 过 存在 给 定 用 户 拥 有 多 个 公开 /私有 密 钥 对 的 需求 。 那 么 ,接收 方 如 何 知道 消息 使 用 
了 它 的 哪个 公开 密 钥 来 加 密 的 呢 ? 

一 种 简单 的 解决 方法 是 将 公开 密 钥 与 消息 一 起 传输 。 接 收 方 可 以 验证 该 公开 密 钥 确实 
是 它 的 公开 密 钥 ,然后 进一步 处 理 。 这 种 方法 能 够 解决 问题 ,但 RSA 公开 密 钥 的 长 度 可 能 
是 几 百 个 十 进 制 数 ,这 样 就 没有 必要 地 浪费 了 空间 。 另 一 种 解决 方法 是 给 每 个 公开 密 钥 指 
派 至 少 在 一 个 用 户 内 部 唯一 的 标识 符 ,也 就 是 将 用 户 ID 和 密 钥 ID 组 合 在 一 起 来 唯一 标识 
一 个 密 钥 ,那么 只 有 小 得 多 的 密 钥 ID 需要 被 传输 。 但 是 , 密 钥 ID 必须 被 赋值 和 存储 ,使 得 
发 送 方 和 接收 方 都 能 够 将 密 钥 ID 映射 成 公开 密 钥 ,这 带 来 了 管理 和 负载 上 的 问题 。 

PGP 采用 的 解决 方法 是 给 每 个 公开 密 钥 指派 一 个 密 钥 ID ,这 在 用 户 ID 中 很 可 能 是 唯 
一 的 。 密 钥 ID 与 每 个 公开 密 钥 相关 联 ,并 由 公开 密 钥 的 最 低 64 比特 组 成 , 即 公 开 密 钥 
KU 的 密 钥 ID 为 KU mod 2%*。 这 个 长 度 足 以 使 密 钥 ID 重复 概率 非常 小 。 

PGP 的 数字 签名 也 需要 密 钥 ID。 因 为 发 送 方 可 能 使 用 一 组 私有 密 钥 中 的 一 个 来 加 密 


198 计算 机 系统 安全 教程 


消息 摘要 ,接收 方 必须 知道 应 该 使 用 哪个 公开 密 钥 来 解密 。 相 应 地 ,消息 的 数字 签名 部 分 包 
括 了 需要 的 公开 密 钥 的 64b 0 ID。 当 消息 被 收 到 时 ,接收 方 可 以 验证 该 密 钥 ID 是 它 所 
知道 的 发 送 方 的 公开 密 钥 ,然后 接着 来 验证 签名 。 

3. 密 钥 环 

前 面 介绍 了 密 钥 ID 对 于 PGP 的 操作 是 如 何 重要 ,任何 一 个 PGP 消息 中 包括 的 两 个 密 
钥 ID 提供 了 机 密 性 和 鉴别 。 这 些 密 钥 需要 以 一 种 系统 化 的 方法 来 存储 和 组 织 ,使 得 各 方 能 
够 有 效 和 高 效 地 使 用 它们 。PGP 使 用 的 方法 是 在 每 个 结 点 提供 一 对 数据 结构 ,一 个 用 来 存 
储 该 结 点 拥有 的 公开 /私有 密 钥 对 , 另 一 个 用 来 存储 该 结 点 所 知道 的 其 他 用 户 的 公开 密 钥 。 
相应 地 ,这 些 数据 结构 被 称 为 和 有 密 钥 环 和 公开 密 钥 环 。 

可 以 把 私有 密 钥 环 看 做 是 一 张 表 , 见 表 9-2。 

表 9-2 私有 密 钥 环 的 一 般 结构 
时 间 戳 密 钥 ID 公 钥 加 密 的 公 钥 用 户 ID 


KU, mod 2% KU, 下 mp LKR;] T 


其 中 每 一 行 代 表 了 该 用 户 拥 有 的 公开 /私有 密 钥 对 。 每 一 行 包 含 了 下 面 一 些 实 体 。 

。 时 间 鹤 : 人 

。 Wg ID: 这 个 实体 的 公开 密 钥 的 低位 64 比特 。 

。 公开 密 钥 : 密 钥 对 的 公开 密 钥 部 分 。 

。 私有 密 钥 : 密 钥 对 的 私有 密 钥 部 分 ; 这 个 字段 是 加 密 的 。 

。 用 户 ID: 这 个 字段 的 典型 值 是 用 户 的 电子 邮件 地 址 。 然 而 ,用 户 可 以 为 每 个 密 钥 对 

选择 不 同 的 名 字 ,或 者 多 次 重用 相同 的 用 户 ID。 

私有 密 钥 环 可 以 用 用 户 ID 或 密 钥 ID 来 索引 ,后 面 将 介绍 创建 这 两 种 索引 的 情况 。 

尽管 想 要 私有 密 钥 环 只 存储 在 创建 和 拥有 密 钥 对 的 用 户 的 机 器 上 ,并 且 只 有 该 用 户 可 
以 访问 私有 密 钥 环 ,但 确保 私有 密 钥 的 值 尽 可 能 地 安全 仍然 很 有 意义 。 相 应 地 ,私有 密 钥 本 
身 并 不 存储 在 密 钥 环 中 ,相反 ,要 使 用 CAST-128( 或 IDEA 或 3DES) 来 对 这 个 密 钥 加 密 。 
其 步骤 如 下 : 

(1) 用 户 选择 口令 短语 用 来 对 私有 密 钥 进 行 加 密 。 

(2) 当 系 统 使 用 RSA 生成 新 的 公开 /私有 密 钥 对 时 , 它 向 用 户 要 求 该 口令 短语 。 使 用 
SHA-1 生成 该 口令 短语 的 160b 的 散 列 编码 ,然后 该 口令 短语 被 丢弃 。 

(3) 系统 使 用 CAST-128 ,将 128b 的 散 列 编码 作为 密 钥 来 加 密 私 有 密 钥 。 然 后 , 散 列 编 
码 被 丢弃 ,加密 过 的 私有 密 钥 被 存储 在 私有 密 钥 环 中 。 

接 下 来 , 当 用 户 访问 私有 密 钥 环 来 查询 私有 密 钥 时 ,他 或 她 必须 提供 相应 的 口令 短语 。 
PGP 将 查询 加 密 的 私有 密 钥 ,生成 口令 短语 的 散 列 编码 ,然后 使 用 该 散 列 编码 来 应 用 
CAST-128 对 加 密 的 私有 密 钥 进行 解密 。 

这 是 非常 简洁 和 有 效 的 方法 。 和 任何 基于 口令 的 系统 一 样 , 系 统 的 安全 性 依赖 于 口令 
的 安全 性 。 为 了 避免 将 口令 写 下 来 ,用 户 应 该 使 用 一 种 不 容易 猜 但 却 容易 记 住 的 口令 短语 。 
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4. 公 钥 环 
表 9-3 显示 了 公开 密 钥 环 的 一 般 结构 。 这 个 数据 结构 用 来 存储 该 用 户 知道 的 其 他 用 户 
的 公开 密 铀 。 表 中 实体 含义 和 私 钥 环 中 含义 基本 相同 ,也 可 以 用 用 户 ID 或 密 钥 ID 来 索引 。 
表 9-3” 公 钥 环 的 一 般 结构 


时 间 改 | 密 钥 ID 公 钥 拥有 信任 者 | 用 户 ID | 密 钥 合 理性 签名 签名 信任 


T |KU mod 到 KU | Trust tag | User; | Trust Flag 


下 面 介绍 这 些 密 钥 环 是 如 何 用 于 消息 的 传输 和 接收 的 。 为 了 简单 起 见 , 在 以 下 的 讨论 
中 忽略 压缩 和 radix-64 转换 。 
首先 考虑 消息 传输 ,假定 消息 将 既 被 签名 又 被 加 密 , 如 图 9-9 所 示 。 


公 钥 环 


Ds 


私 钥 环 


选择 加 密 的 私 钥 密 钥 标识 


IDA 一 一 一 | 


KR。 
消息 摘要 < 公 钥 
KU 


加 密 的 签名 
+ 消息 


图 9-9 PGP 发 送 端 工作 流程 


发 送 PGP 实体 完成 下 面 一 些 动作 。 

(1) 签名 消息 。PGP 使 用 用 户 ID 作为 索引 从 私有 密 钥 环 中 查找 发 送 方 的 私有 密 钥 。 
如 果 在 命令 中 没有 提供 用 户 ID, 则 使 用 环 中 的 第 一 个 私有 密 钥 。 提 示 用 户 输入 口令 短语 来 
恢复 未 加 密 的 私有 密 钥 。 构 造 消息 的 签名 部 分 。 

(2) 加 密 消 息 。PGP 生成 会 话 密 钥 并 且 加 密 消息 。 使 用 接收 方 的 用 户 ID 作为 索引 ,从 
公开 密 钥 环 中 查找 接收 方 的 公开 密 钥 。 构 造 消息 的 会 话 密 钥 部 分 。 

接收 PGP 实体 完成 下 面 一 些 步骤 (如 图 9-10 所 示 ) 。 
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一 -人 ( 1) 公 钥 环 
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9-10 ”PGP 接收 端 工 作 流 程 


(1) 解密 消息 。PGP 使 用 消息 会 话 密 钥 部 分 的 密 钥 ID 字段 作为 索引 ,从 私有 密 钥 环 中 
查找 接收 方 的 私有 密 钥 。 提 示 用 户 输入 口令 短语 来 恢复 未 加 密 的 私有 密 钥 。 然 后 恢复 会 话 
密 钥 并 且 解 密 消息 。 

(2) 鉴别 消息 。PGP 使 用 消息 签名 密 钥 部 分 的 密 钥 ID 字段 作为 索引 ,从 公开 密 钥 环 中 
查找 发 送 方 的 公开 密 钥 ,恢复 传输 的 消息 摘要 。 对 接收 的 消息 计算 其 消息 摘要 ,将 计算 的 结 
果 与 传输 过 来 的 消息 摘要 相 比 较 以 鉴别 消息 。 

5. 公开 密 钥 管理 

保护 公开 密 钥 不 被 自 改 在 公开 密 钥 应 用 中 是 最 困难 的 问题 。 它 是 公开 密 钥 加 密 方法 中 
唯一 的 薄弱 环节 ,很 多 的 软件 复杂 性 都 是 为 了 解决 这 个 问题 而 产生 的 。 

PGP 提供 了 解决 这 个 问题 的 结构 和 一 些 可 以 使 用 的 选项 。 因 为 PGP 要 用 在 多 种 正式 
或 非 正 式 的 环境 中 ,因此 并 没有 建立 严格 的 公开 密 钥 管理 方法 。 

以 用 户 A 和 用 户 B 通信 为 例 , 现 假设 用 户 A 给 用 户 B 发 信 , 首 先 用 户 A 的 公 钥 环 就 必 
须 包含 用 户 B 的 公 钥 ,用 户 A 得 到 用 户 B 的 公 钥 ,并 把 用 它 加 密 的 信件 发 给 用 户 B。 但 是 
用 户 A 和 用 户 B 都 不 知道 , 另 一 个 用 户 C 侦 听 或 截取 到 用 户 B 的 公 钥 ,然后 用 自己 的 公 
替换 了 用 户 B 的 公 钥 ,并 发 给 用 户 A。 这 样 一 来 用 户 B 收 到 用 户 A 的 来 信和 后 就 不 能 用 自己 
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的 私 钥 解密 了 ,用 户 C 还 可 伪造 用 户 B 的 签名 给 用 户 A 或 其 他 人 发 信 , 因 为 用 户 A 手中 的 
公 钥 是 伪造 ,用 户 A 会 以 为 真是 用 户 B 的 来 信 , 用 户 A 发 给 用 户 B 的 加 密 消息 都 可 以 被 用 
户 C 看 到 。 

为 了 把 公开 密 钥 的 危险 最 小 化 ,用 户 A 可 以 采取 以 下 方法 来 获得 用 户 B 的 可 靠 公 钥 。 

(1) 直接 从 用 户 B 手中 得 到 她 的 公 钥 ,然而 当 她 远 在 他 乡 或 在 时 间 上 根本 不 可 达到 时 ， 
这 是 不 可 办 到 的 。 

(2) 通过 电话 验证 密 钥 。 如 果 用 户 A 可 以 在 电话 上 听 出 用 户 B 的 声音 ,用 户 A 可 以 给 用 
户 B 打 电话 ,要 求 她 在 电话 上 以 radix-64 的 形式 口述 密 钥 。 更 加 实用 的 方法 是 用 户 B 可 以 将 
她 的 密 钥 通过 电子 邮件 传递 给 用 户 A。 然 后 ,用 户 A 可 以 让 PGP 生成 密 钥 的 160b 的 SHA-1 
摘要 ,并 且 以 十 六 进 制 的 形式 显示 ,这 个 摘要 被 称 为 密 钥 的 “指纹 ”。 接 下 来 ,用 户 A 可 以 给 用 
户 B 打 电话 ,让 她 在 电话 里 口述 “指纹 ”"。 如 果 两 个 “指纹 ”一 致 ,那么 密 钥 就 得 到 了 验证 。 

(3) 从 双方 信任 的 第 三 方 D 那里 获得 用 户 B 的 公开 密 钥 。 介 绍 人 DD 创建 签名 的 证 书 ， 
证 书包 括 用 户 B 的 公开 密 钥 、 创 建 密 钥 的 时 间 和 密 钥 的 合法 期 限 。 介 绍 人 DD 生成 这 个 证 书 
的 SHA-1 摘要 ,使 用 他 的 私有 密 钥 对 其 加 密 , 并 且 将 签名 附加 在 证 书 上 。 因 为 只 有 DD 能 够 
创建 这 个 签名 ,所 以 没有 其 他 人 可 以 创建 假 的 公开 密 钥 ,并 且 伪 装 成 经 过 DD 的 签名 。 签 名 
的 证 书 可 以 直接 由 用 户 B 或 第 三 方 D 发 送 给 用 户 A, 或 者 公布 在 公告 牌 上 。 

(4) 从 可 信任 的 认证 中 心 获得 用 户 B 的 公开 密 钥 。 青 一 次 创建 公开 密 钥 证 书 ,并 经 过 
认证 中 心 的 签名 。 用 户 A 可 以 访问 这 个 认证 中 心 ,提供 用 户 名 获得 签名 的 证 书 。 

对 于 第 (3) 和 第 (4) 种 情况 ,用 户 A 应 该 已 经 有 了 介绍 人 的 公开 密 钥 ,并 且 可 以 相信 这 
个 密 钥 是 合法 的 。 最 终 来 说 ,用 户 A 必须 对 承担 介绍 人 角色 的 人 指派 一 定 程 度 的 信任 。 

6. 信任 的 使 用 

PGP 确实 为 公开 密 钥 附 加 信任 和 开发 信任 信息 提供 了 一 种 方便 的 方法 使 用 信任 。 公 
开 密 钥 环 的 每 个 实体 都 是 一 个 公开 的 密 钥 证 书 。 与 每 个 这 样 的 实体 相 联系 的 是 密 钥 合 法 性 
字段 ,用 来 指示 PGP 信任 “这 是 这 个 用 户 合法 的 公开 密 钥 ”的 程度 越 高 ,这 个 用 户 ID 与 这 个 
密 钥 的 绑 定 越 紧 密 。 这 个 字段 由 PGP 计算 。 与 每 个 实体 相 联 系 的 还 有 用 户 收集 的 多 个 签 
名 。 反 过 来 ,每 个 签名 都 带 有 签名 信任 字段 ,用 来 指示 该 PGP 用 户 信任 签名 者 对 这 个 公开 
密 钥 证 明 的 程度 。 密 钥 合 法 性 字段 是 从 这 个 实体 的 一 组 签名 信任 字 节 中 推导 出 来 的 。 最 
后 ,每 个 实体 定义 了 与 特定 的 拥有 者 相 联系 的 公开 密 钥 ,包括 拥有 者 信任 字段 ,用 来 指示 这 
个 公开 密 钥 对 其 他 公开 密 钥 证 书 进行 签名 的 信任 程度 (这 个 信任 程度 是 由 该 用 户 指定 的 ) 。 
可 以 把 签名 信任 字段 看 成 是 来 自 于 其 他 实体 的 拥有 者 信任 字段 的 副本 。 

例如 正在 处 理 用 户 的 公开 密 钥 环 ,操作 描述 如 下 : 

(1) 当 A 在 公开 密 钥 环 中 插入 了 新 的 公开 密 钥 时 ,PGP 必须 为 与 这 个 公开 密 钥 拥有 者 
相关 联 的 信任 标志 赋值 。 如 果 拥 有 者 是 A, 因 此 这 个 公开 密 钥 也 出 现在 私有 密 钥 环 中 ,那么 
这 个 信任 字段 被 自动 指派 终极 信任 的 值 。 否 则 ,PGP 询问 A 指派 这 个 密 钥 拥有 者 的 信任 程 
度 的 评定 ,A 必须 输入 想 要 的 级 别 。 用 户 可 以 说 明 这 个 拥有 者 是 未 知 的 、 不 可 信任 的 .少量 
信任 和 完全 可 信和 的。 

(2) 当 新 的 公开 密 钥 输入 之 后 ,可 以 在 它 上 面 附 加 一 个 或 多 个 签名 ,以 后 还 可 以 增加 更 
多 的 签名 。 在 实体 中 插入 签名 时 .PGP 在 公开 密 钥 环 中 搜索 ,查看 这 个 签名 的 作者 是 否 属 
于 已 知 的 公开 密 钥 拥有 者 。 如 果 是 ,为 这 个 签名 的 SIGTRUST 字段 指派 该 拥有 者 的 
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OWNERTRUST 值 。 否 则 ,指派 不 认识 的 用 户 值 。 

(3) 密 钥 合 法 性 字段 的 值 是 在 这 个 实体 的 签名 信任 字段 的 基础 上 计算 的 。 如 果 至 少 有 
一 个 签名 具有 终极 信任 的 值 ,那么 密 钥 合法 性 字段 的 值 设置 为 完全 ; 否则 ,PGP 计算 信任 值 
的 权重 和 。 对 于 总 是 可 信任 的 签名 指派 1/X 的 权重 ,对 于 通常 可 信任 的 签名 指派 1/Y 的 权 
重 , 其 中 X 和 工 都 是 用 户 可 配置 的 参数 。 当 介绍 者 的 密 钥 / 用 户 ID 绑 定 的 权重 总 和 达到 1 
时 , 绑 定 被 认为 是 值得 信赖 的 , 密 钥 合法 性 值 被 设置 为 完全 。 因 此 ,在 没有 终极 信任 的 情况 
下 ,需要 至 少 X 个 签名 是 总 是 可 信 的 ,或 者 至 少 了 个 签名 是 通常 可 信 的 ,或 者 上 述 两 种 情况 
的 某 种 组 合 。 

7. 搬 销 公 钥 


用 户 可 能 想 要 废除 当前 的 公开 密 钥 ,废除 公开 密 钥 的 常规 方法 是 拥有 者 发 出 密 钥 废除 
证 书 ,该 证 书 必须 由 拥有 者 用 其 私有 密 钥 签名 。 这 个 证 书 和 一 般 的 签名 证 书 的 格式 一 样 ,但 
其 中 包含 一 个 标志 证 书 的 目的 是 撤销 其 公 钥 的 使 用 。 拥 有 者 应 该 尽 可 能 快速 .广泛 地 散布 
这 个 证 书 , 使 得 用 户 都 能 够 更 新 他 们 的 公开 密 钥 环 。 虽 然 窃 取 此 私有 密 钥 的 敌手 也 可 以 发 
出 这 文 样 的 撤销 证 书 。 但 这 会 使 得 这 个 敌手 和 合法 的 拥有 者 一 样 不 能 使 用 该 公开 密 钥 ,因此 

这 看 起 来 比 恶意 使 用 被 偷 的 私 有 密 钥 的 威胁 要 小 得 多 。 


9.4.5 PGP 应 用 


PGP Desktop 是 一 个 安全 工具 , 它 使 用 加 密 技术 来 保护 用 户 的 数据 ,使 其 免 遭 未 经 授权 
的 访问 。 

当 发 送 电 子 邮 件 或 即时 消息 (IM) 时 ,PGP Desktop 保护 用 户 的 数据 。 它 可 以 让 用 户 加 
密 自 己 的 整个 硬盘 或 硬盘 分 区 ,因此 所 有 的 内 容 可 以 一 起 被 保护 起 来 。 通 过 虚拟 磁盘 ,用 户 
可 以 安全 地 存储 最 敏感 的 数据 。 用 户 也 可 以 使 用 它 在 网 络 上 安全 地 分 享 文件 和 文件 夹 。 它 
可 以 让 用 户 把 任何 组 合 的 文件 和 文件 夹 放 到 一 个 加 密 的 压缩 包 中 ,以 方便 分 配 或 备份 。 
PGP Desktop 还 可 以 让 用 户 安全 删除 敏感 文件 和 硬盘 空间 ,因此 没有 人 可 以 找 回 它们 ,也 没 
有 任何 不 安全 的 文件 残留 。 本 节 以 PGP Desktop 9.6 版 为 例 进行 介绍 。 

1. PGP 密 钥 的 创建 

整个 PGP 软件 的 功能 非常 多 , 且 有 些 配 置 起 来 还 比较 复杂 ,在 此 仅 介 绍 与 本 章 主 题 有 
关 的 文件 和 信息 的 加 密 和 数字 签名 方面 的 应 用 。 用 PGP 软件 进行 文件 加 密 和 数字 签名 , 实 
际 上 就 是 由 PGP 软件 本 身 为 用 户 颁 发 包括 公 、 私 钥 密 钥 对 的 证 书 。 所 以 要 使 用 这 款 软 件 首 
先 要 做 的 就 是 密 钥 的 生成 。 具 体 方法 如 下 : 

(1) 打开 安装 好 的 PGP 软件 ,界面 如 图 9-11 所 示 。 

(2) 选择 File>New PGP Key 菜单 命令 ,或 者 按 Ctrl 十 N 组 合 键 ,都 可 打开 PGP Key 
Generation Wizard( 密 钥 生 成 向 导 ) 界 面 。 按照 提示 一 步 步 生 成 密 钥 后 的 界面 如 
图 9-12 所 示 。 

公 / 私 钥 的 获取 

根据 文件 加 密 和 数据 签名 原理 的 介绍 可 以 知道 ,要 利用 包括 公 钥 和 私 钥 的 证 书 进行 文 
件 加 密 和 数据 签名 ,首先 就 要 把 自己 的 公 钥 向 要 发 送 加 密 邮 件 的 所 有 接收 方 发 布 , 让 他 们 知 
道 自 己 的 公 钥 ,否则 他 们 在 收 到 自己 的 加 密 邮 件 时 将 打 不 开 。 整 个 公 钥 的 发 布 包括 两 个 主 
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® POP Desktop -KRITREYS 
Ele 上 Yew Tooks Keys Help 


宝 Newpepzp veriyPepzp 罚 sedpes 人 Bsearchforkeys 本 3smckeys 
DOS All Keys 


以 my Private keys 
以 search for Keys 


PP Emal this Key 


| 总 人 pap Messaging 


国 PGP zip 
[s PGP Disk 
回 PGP NetShare 


图 9-11 开始 界面 


@ PoP Desktop “KITKeys 
Ele Edt Yew Ioos Keys Help 


蔽 wwrez 后 veriyPepzp 国 shedpes 有 sarakey 二 SyncKeys 


凡 PGP Keys DLS AllKeys 


图 9-12 生成 密 钥 界 面 
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要 步骤 , 那 就 是 用 户 自己 先导 出 公 钥 文件 ,发 送 给 好 友 ; 然后 好 友 再 从 接收 到 的 包括 公 钥 文 
件 的 附件 中 导入 公 钥 ,用 于 文件 解密 。 下 面 分 别 予 以 介绍 。 

1) 用 户 自己 导出 公 钥 文件 

要 发 布 自己 的 公 钥 ,首先 自己 要 先 从 证 书 中 导出 。 从 证 书 中 导出 公 钥 的 方法 很 简单 , 具 
体 方法 如 下 : 

(1) 在 如 图 9-12 所 示 窗 口中 选择 自己 的 一 个 要 用 来 发 送 加 密 邮 件 的 证 书 ( 带 两 钥匙 的 
选项 ) 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 Export( 导 出 ) 命 令 , 打 开 如 图 9-13 所 示 的 Export 
Key to File( 导 出 公 钥 到 文件 ) 对 话 框 。 


Fxport Key to File 


保存 在 :| 图 我 的 文档 疾 怠 计 巴 国 - 
DMy ebooks 
BMy QQ Fies 


BP 
局 我 9 报刊 


图 我 的 视频 
忆 我 的 视频 


文件 名 中 : 
保存 类 型 I): | ASCII Key File (+ asc) 


JIndude Private Key(s) 


9-13 ”Export Key to File 对 话 框 


(2) 选择 保存 导出 公 钥 的 公 钥 文件 存储 位 置 , 然 后 单 击 “ 保 存 ” 按 钮 即 可 完成 公 钥 的 导 
出 。 默 认 的 文件 格式 为 .asc。 如 果 选 中 Include Private Key(s) 复 选 框 , 则 同时 导出 私 钥 。 
因为 私 钥 不 能 让 别人 知道 ,所 以 在 导出 用 来 发 送 给 邮件 接收 者 的 公 钥 中 ,不 要 选中 此 复 
选 框 。 

公 钥 导出 后 就 可 以 通过 任何 途径 (如 邮件 发 送 ,QQ MSN 点 对 点 文件 传输 等 ) 向 其 他 
用 户 发 送 公 钥 文件 ,不 必 担 心 被 人 窃取 ,因为 公 钥 可 以 被 别人 知道 。 

其 实 还 有 一 种 更 直接 的 方法 来 获取 证 书 的 公 钥 , 那 就 是 在 如 图 9-12 所 示 的 窗口 中 , 选 
择 对 应 的 证 书 密 钥 对 , 右 击 并 在 弹出 的 快捷 菜单 中 选择 Copy Public Key( 复 制 公 钥 ) 命 令 ， 
然后 再 在 任何 一 个 文本 编辑 器 (如 记事 敌 .写字 板 等 ) 中 粘贴 所 复制 的 公 钥 , 那 可 把 公 钥 的 真 
正 内 容 复制 下 来 (如 图 9-14 所 示 ) ,最 后 不 要 做 任何 修改 ,以 . asc 文件 格式 保存 下 来 。 这 就 
是 公 钥 文件 。 

2) 好 友 导 入 公 钥 文件 

当 好 友 接 收 到 来 自 你 发 送 的 包括 公 钥 文件 的 邮件 时 ,他 (她 ) 们 需要 把 这 个 公 钥 文件 导 
入 到 自己 的 计算 机 上 ,以 便于 工作 解密 时 使 用 .导入 步骤 如 下 : 

(1) 在 附件 中 双击 这 个 公 钥 文件 ,打开 如 图 9-15 所 示 的 Select key(s) (选择 公 钥 ) 对 话 
框 。 在 此 对 话 框 中 显示 了 公 钥 文件 中 包括 的 公 钥 。 

(2) 选中 需要 导出 的 公 钥 (如 车 有 多 个 的 话 可 以 单 击 Select All 按钮 全 选 ), 单 放 
Import 按钮 , 即 可 完成 公 钥 的 导入 。 

导入 后 的 好 友 公 钥 也 会 加 入 到 如 图 9-12 所 示 的 All keys( 所 有 密 钥 ) 窗 口中 。 要 查看 
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Uersion: PBP Desktop 9-6-1 (Build 1912) 


mQENBEiK12cBCACWthGHbYW/z2+1H6xOANASW9PpquCk+al+ wbaCmuxyt6nGsLWtZ 
uDkglvQ1agjéCn8652jLX1BHWOOEF Sy1FS681XwnAZI2k8D29HFygJuB2LUv6Xi1 
ex12JPn332kICHO3SZ2zc3nUZpx2f50mLARttIxjEaL7jG2Th5PFbXCFL/CTr50In 
7J7K9DJSR+ BuURSPcqZLJnK12F3uNk5G*UZeldhGweKP4BcpKL+dF9pyAKMdJXg9 
wCeP ONpLLZQF4gYYFSN7 1x0nsE1FUiUDUS9YSjx926Feth3601g1SNY 4uEbrxUtH 
i1w8uh2FoUnFGeQShM1ihInhuHRbzsqgnmGZTABEBAAGBHXNpbW9tbyA8c21tb21u 
X3N1bmUzQDEyNi5jb28+iQGHBBABAgBxBQJIitWeMBSAAAAAACAAB3ByZWZ1cnJl 
2C11bWFpbC11bmNuZ61uZ8Bw23AuY29tcGdwbW1t2QcLCQgHAwIKANkBGRhsZGFw 
0i8va2u5c2UydmUyLnBncC5jb26FGwHAAAADFgIBBR4BAAAABBUICQoACgkQpLJb 
ltxMdC/yQwFzMu9rqMAZAGkQbyIMEqRMQZro2h5FS7yci/ox7LKuUKdutK2+9dj5J 
ZzOmLroF JFNYKW3mHCd9k1W87RuzcTNKJR6seax070dEXMhxU8rejz71j1Cv*+ovnr 
AY/FqoveFCqGcxUnnOnjCotz/m38Hs7vPBd5dDP4RgRq*+DHD/XXbUQpTUJFulzzQ 
ms/pyBekofrCSatu9oe6RswtXCcF+LuCgHKF63Q0UHepUwhuwI7u9PUUTS6BsBNK/ 
BueAiwspdr*+NnFOMHa9JXPhdopd/R7uUijPrih6QRNuc14MHSNnN1Wjo3m9FdcSL 
KSCqhqEo9T9Xs8mYtQ--~ 

=kH 


图 9-14 公 钥 密码 


Select keyls} 


Select the key(s) you would ike to import to your keyring: 
Name Email Verified 
EE 


9-15 ”Select key(s) 对 话 框 


自己 所 有 的 密 钥 ,可 选择 窗口 左边 导航 栏 中 的 My Private Keys 选项 ,在 右边 详细 列表 窗 格 
中 即 可 得 到 。 

3. PGP 在 文件 中 的 应 用 

下 面 将 介绍 PGP 软件 在 文件 加 密 方 面 的 应 用 。 使 用 PGP 进行 文件 加 密 需 要 用 接收 方 
的 公 钥 进行 。 具 体 方法 如 下 : 

(1) 首先 要 从 对 方 获取 公 钥 ,获取 公 钥 的 方法 前 面 已 有 介绍 。 可 以 通过 邮件 ,也 可 以 通 
过 其 他 传输 途径 ,得 到 后 再 导入 到 自己 的 PGP 程序 密 钥 列表 中 ,如 图 9-12 所 示 。 

(2) 在 资源 管理 器 中 选择 要 加 密 传输 的 文件 (本 例 为 新 建文 本 文档 ) 或 文件 夹 并 右 击 ， 
安装 PGP 程序 后 在 弹出 的 快捷 菜单 中 都 会 有 一 个 名 为 PGP Desktop 的 子 菜单 .选择 其 中 
的 Add“ 新 建文 本 文档 . txt”to new PGP zip 命令 (如 果 要 求 只 签名 或 者 只 加 密 可 以 选择 相 
应 的 其 他 选项 ) ,打开 如 图 9-16 所 示 的 New PGP Zip 对 话 框 。 

(3) 单 击 “下 一 步 ”* 按 钮 ,在 Encrypt 中 选择 Recipient keys, 选 择 下 一 步 。 双 击 左 框 Key 
source 中 的 密 钥 ,使 其 添加 到 右 框 Keys to add 中 ,如 图 9-17 所 示 。 

单 击 OK 按钮 .在 Sign and Save 界面 中 选择 Signing Key 输入 密码 选择 保存 地 址 ,继续 
单 击 “ 下 一 步 ” 按 钮 ,完成 即 可 在 相应 地 址 找到 加 密 并 签名 的 文件 “新 建文 本 文档 . txt. pgp”。 
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PGP Zip Assistant 


Psr Deskiopge ,@)] New PGP Zip 


This assistant will help you secure files and Folders for storage or transfer. Drag and drop your 
Files into the box, or use the buttons below to browse for you selection. 


Name Size Type 
由 新 建文 本 文档 .bt 0 字 节 文本 文档 


9-16 ”New PGP Zip 对 话 框 


Recipient Selection 


All Keys | My Private Keys PGP Global Directory 


Key source 
ke 


全 smomo 


si 
simomo_senes@126 com 


ID 0xD1B64041 
Verified No 


图 9-17 添加 密 钥 
然后 把 这 个 加 密 的 文件 通过 邮件 ,或 者 其 他 方式 (如 QQ、MSN 等 ) 传 输 给 接收 方 。PGP 可 
以 对 正在 使 用 的 文件 动态 加 密 。 
当 用 户 收 到 这 封 加 密 了 附件 文件 的 邮件 后 , 右 击 文件 ,在 弹出 的 快捷 菜单 中 选择 
Decrypt& Verify 命令 即 可 得 到 加 密 前 的 文件 了 。 
4. PGP 在 邮件 中 的 应 用 
PGP Desktop Email 在 电子 邮件 发 送 时 自动 地 加 密 和 签名 ,并 在 接收 时 自动 解密 。 用 
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户 需 要 做 的 只 是 像 平 常 一 样 发 送 和 接收 电子 邮件 ,其 余 的 PGP Desktop 会 做 好 。PGP 
Desktop Email 会 根据 个 人 或 企业 设 定 的 安全 战略 , 当 用 户 要 发 送 电子 邮件 时 ,会 自动 地 使 
用 接收 者 的 公 钥 来 加 密 ( 确 保 传输 过 程 不 会 资料 泄露 ) ,并 且 使 用 用 户 自己 的 私 钥 来 签名 (证 
明 发 送 者 是 用 户 本 人 ); 当 用 户 收 到 电子 邮件 时 ,PGP Desktop Email 会 使 用 用 户 的 私 钥 将 
邮件 解密 ,并 使 用 发 送 者 的 公 钥 来 验证 其 签名 。 如 果 对 方 没有 安装 PGP Desktop Email ,用 
户 原 来 使 用 的 电子 邮件 功能 不 会 收 到 影响 。 

1) 加 密 邮 件 的 传送 

(1) 安装 完成 后 ,PGP Desktop Email 会 自动 插入 在 用 户 的 电子 邮件 客户 端 和 用 户 的 
邮件 服务 器 之 间 ,并 观察 着 电子 邮件 传输 。 安 装 了 PGP Email 的 Product Information 中 
PGP Messaging 显示 为 可 用 ,如 图 9-18 所 示 。 


PGP Desktop License 


License Type: Enterprise Complete Edition 
License Seats: Unimiced 
License Expiration: Never 


Product Information 


Mouse over an icon to learn about each feature of PGP Desktop 9 


Cannes) CES) 


9-18 ”PGP 所 安装 的 组 件 


(2) 当 传 人 邮件 到 达 ,PGP Desktop Email 会 在 他 们 到 达 收 件 箱 之 前 拦截 他 们 ,并 自动 
使 用 用 户 的 私 钥 解密 和 使 用 公 钥 校 验 。 完 成 之 后 PGP Desktop Email 就 会 把 得 到 的 信息 放 
到 收 件 箱 中 。 大 多 数 情况 下 ,解密 后 的 邮件 跟 其 他 邮件 并 无 区 别 。 

(3) 当 用 户 发 送 邮件 时 ,PGP Desktop Email 会 在 邮件 去 邮件 服务 器 之 前 拦截 他 们 ,并 
自动 根据 用 户 的 配置 加 密 和 签名 。 同 样 ,用户 只 要 用 客户 端 创建 并 发 送 自己 的 邮件 ,其余 一 
切 PGP Desktop Email 都 会 处 理 。 

2) 详细 说 明 

(1) 接收 邮件 

PGP Desktop Email 基于 邮件 所 包含 的 内 容 对 它 进行 处 理 。 

没有 进行 加 密 和 签名 : PGP Desktop Email 什么 都 不 做 ,直接 传送 。 

加 密 人 不 签名 : PGP Desktop Email 会 先 查找 能 解密 这 封 邮 件 的 私 钥 , 找 到 后 用 其 解 
密 并 把 解密 后 的 邮件 放 到 邮件 客户 端 ; 如 果 找 不 到 就 会 传送 仍然 加 密 的 邮件 。 

签名 不 加 密 : PGP Desktop Email 会 先 查找 能 校 验 这 个 签名 的 公 钥 ,找到 合适 的 公 
钥 后 ,用 其 检验 ,并 把 解密 后 的 邮件 放 到 邮件 客户 端 ; 如 果 找 不 到 就 会 传送 仍然 签名 的 
邮件 。 
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签名 并 加 密 : PGP Desktop Email 会 先 找 私 钥 解密 消息 ,再 找 公 钥 验 证 它 。 
邮件 接收 后 PGP Desktop Email 会 有 如 下 提示 信息 (如 图 9-19 所 示 ) 。 


眉目 日 PGP Incoming Email 2 of 2 Elid 


From simomo <simomo_senes@126.com> 
RA Subject test 
Result (3 Email decrypted 4@ Signature verified 
Key QQ, yuki <simomo_senes@126.com> 


图 9-19 PGP 邮件 接收 信息 


(2) 发 送 邮 件 

PGP Desktop Email 包括 以 下 四 个 默认 的 设置 。 

Mailing List Admin Requests: 要 求 发 送 邮 件 不 加 密 和 签名 。 

Mail List Submissions: 要 求 发 送 邮 件 签名 不 加 密 。 

Require Encryption: [PGP] Confidential: 所 有 在 邮件 客户 端 标 记 机 密 或 者 在 主题 中 
包含 "LTPGPJ” 的 邮件 ,必须 用 一 个 有 效 的 公 钥 加 密 , 否 则 就 不 发 送 它 。 这 个 设置 使 得 发 送 加 
密 邮 件 容易 控制 。 

Opportunistic Encryption: 说 明了 如 果 一 个 消息 的 密 钥 找 不 到 , 则 不 加 密 发 送 。 这 个 
设置 保证 了 即使 给 收 件 人 的 加 密 密 钥 无 法 找到 ,邮件 也 会 被 发 送 (除非 信息 标志 为 机 密 )。 

具体 操作 为 : 在 PGP Messaging 界面 中 | BOQ PGP Outgoing Email 1 of 1 ee "| 
选择 相应 的 Service, 然 后 在 Security Policies ，， Subject test 
一 栏 中 选择 Edit Policies 即 可 选择 相应 的 设 和 3 eco 
置 。 当 发 送 的 信息 满足 其 中 某 个 设置 的 条 件 后 
时 ,邮件 就 会 按照 该 设置 发 送 邮 件 。 

邮件 发 送 后 PGP Desktop Email 会 有 如 


下 提示 信息 (如 图 9-20 所 示 )。 


9-20 ”PGP 邮件 发 送信 息 


9.5 S/MIME 


安全 多 功能 互联 网 协议 邮件 扩展 协议 (Secure Multipurpose Internet Mail Extensions， 
S/MIME) 是 从 PEM 和 MIME 发 展 而 来 的 。 它 集成 了 三 类 标准 : MIME(RFC 1521) 加密 
消息 语法 标准 (Cryptographic Message Syntax Standard, CMSS) 和 证 书 请 求 语法 标准 
(Certification Request Syntax Standard.,CRSS)., 


9.5.1 MIME 对 RFC 822 的 扩充 


早期 的 Internet 电子 邮件 的 格式 是 由 RFC 822 定义 的 。RFC 822 文档 定义 了 邮件 内 
容 的 主体 结构 和 各 种 邮件 头 字段 的 详细 细节 ,但 是 , 它 没有 定义 邮件 体 的 格式 ,REFC 822 文 
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档 定义 的 邮件 体 部 分 通常 都 只 能 用 于 表述 一 段 普通 的 文本 ,只 能 是 ASCII 字符 ,而 无 法 表 
达 出 图 片 .声音 等 二 进 制 数据 。 

由 于 Internet 的 迅猛 发 展 , 人 们 已 不 满足 于 电子 邮件 仅仅 是 用 来 交换 文本 信息 ,而 希望 
使 用 电子 邮件 来 交换 更 为 丰富 多 彩 的 多 媒体 信息 ,例如 ,在 邮件 中 嵌入 图 片 声音, 动画 和 附 
件 。 但 是 图 片 和 声音 等 内 容 是 非 ASCII 码 的 二 进 制 数据 ,而 RFC 822 邮件 格式 只 适合 用 来 
表达 纯 文本 的 邮件 内 容 , 所 以 ,要 使 用 RFC 822 邮件 格式 发 送 这些 非 ASCII 码 的 二 进 制 数 
据 时 ,必须 先 采 用 某 种 编码 方式 将 它们 “编码 ”成 可 打印 的 ASCII 字符 后 再 作为 RFC 822 邮 
件 格式 的 内 容 。 邮 件 阅读 程序 在 读 取 到 这 种 经 过 编码 处 理 的 邮件 后 ,再 按照 相应 的 解码 方 
式 解码 出 原始 的 二 进 制 数 据 , 这 样 就 可 以 借助 RFC 822 邮件 格式 来 传递 多 媒体 数据 了 。 这 
种 做 法 需要 解决 以 下 两 个 技术 问题 : 四 邮件 阅读 程序 如 何 知 道 邮 件 中 嵌入 的 原始 二 进 制 数 
据 所 采用 的 编码 方式 ; 四 邮件 阅读 程序 如 何 知 道 每 个 嵌入 的 图 像 或 其 他 资源 在 整个 邮件 内 
容 中 的 起 止 位 置 。MIME 就 是 针对 这 种 情况 出 现 的 。 

RFC 822 定义 了 邮件 由 若干 个 Header field 和 一 个 RFC 822 兼容 邮件 
Body 两 部 分 组 成 ,IETF 在 RFC 2045 一 RFC 2049 中 定义 的 RFC 822 邮件 头 
MIME 标准 ,补充 定义 了 几 个 Header field, 并 对 Body 定义 Date: 
了 复杂 的 格式 ,邮件 体 除了 ASCII 字符 类 型 之 外 ,还 可 以 包 | | To™ 
含 其 他 多 种 数据 类 型 ,从 而 使 得 电子 邮件 可 以 携带 更 多 更 复 Subject: 
杂 的 信息 ,用 户 可 以 使 用 MIME 增加 非 文 本 对 象 ,比如 把 图 
像 .音频 .格式 化 的 文本 或 微软 的 Word 文件 加 到 邮件 体 中 
去 。MIME 中 的 数据 类 型 一 般 是 复合 型 的 ,也 称 为 复合 数 
据 。 由 于 允许 复合 数据 ,用 户 可 以 把 不 同类 型 的 数据 岩 和 到 
同一 个 邮件 体 中 。 在 含有 复合 数据 的 邮件 体 中 , 设 有 边界 标 邮件 体 
志 , 它 标明 每 种 类 型 数据 的 开始 和 结束 。MIME 对 RFC 822 
是 向 下 兼容 的 。MIME 和 RFC 822 的 关系 如 图 9-21 所 示 。 


MIME 头 


MIME-Version: 
Content-Type: 


MIME 体 
MIME 定义 了 5 个 新 的 Header field, 除了 MIME- 
Version 以 外 ,其 他 4 个 以 Content 开头 ,用 于 描述 邮件 Body 
部 分 所 包含 的 信息 ( 见 表 9-4) 。 9-21 邮件 头 部 字段 
Q@ MIME-Version(MIME 的 版 本 ): 现在 版 本 为 1. 0。 
若 无 此 行 则 为 英文 文本 。 


@ Content-Type( 内 容 类 型 ) : 说 明 邮 件 的 性 质 。 

@ Content-Transfer-Encoding( 内 容 传送 编码 ) : 说 明 在 传输 时 邮件 的 主体 如 何 编码 。 

@ Content-ID( 内 容 ID ,可 选 ): 邮件 的 唯一 标识 符 。 

@ Content-Description( 内 容 描述 ,可 选 ): 对 于 消息 主体 中 对 象 的 正文 描述 ,在 该 对 象 
不 可 读 的 情况 下 ,这 个 字段 非常 有 用 (如 音频 数据 ) 。 

MIME 标准 规定 Content-Type 说 明 含 有 两 个 标识 符 , 即 内 容 类 型 (type) 和 子 类 型 
Csub-type) 。 其 中 ,基本 内 容 类 型 有 7 种 : 子 类 型 有 15 种 。 因 此 ,MIME 格式 的 邮件 中 可 以 
包含 多 种 信息 , 当 MIME 类 型 为 复合 类 型 时 ,还 可 以 实现 数据 的 并 行 、 嵌 套 , 从 而 可 以 表示 
更 加 复杂 的 信息 。 
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表 9-4 MIME 内 容 的 类 型 
类 型 子 类 型 描 述 

Plain 无 格式 的 正文 
Enriched 提供 了 更 大 的 格式 灵活 性 
Mixed 按 规定 顺序 的 几 个 独立 部 分 

Parrallel 必须 同时 读 取 的 几 个 部 分 
Alternative 不 同 格式 的 同一 邮件 
Digest 第 一 部 分 是 一 个 完整 的 RFC 822 邮件 
Rfc822 MIME RFC 822 邮件 

Message Partial 为 传输 将 大 的 邮件 分 开 
Extended-body 邮件 必须 从 其 他 位 置 获得 

和 Jpeg JFIF 编码 ,JPEG 格式 的 静止 图 像 
Gif GIF 格式 的 静止 图 像 

Video Mpeg MPEG 格式 的 影片 

Audio Basic 声音 

二 二 PostScript Adobe Postscript 可 打印 文档 
Octet-stream 通常 的 8b 字 节 组 成 的 二 进 制 数据 


对 于 消息 主体 的 text type( 正 文 类 型 ) ,除了 需要 对 指定 字符 集 的 支持 外 ,不 需要 专门 
的 软件 来 获得 正文 的 含义 。 主 要 的 子 类 型 是 plain text( 纯 文本 ) ,就 是 简单 的 由 ASCII 字符 
或 ISO 8859 字符 组 成 的 字符 串 。Enriched( 丰 富 的 ) 子 类 型 允许 更 大 的 格式 灵活 性 。 

Multipart type( 多 部 分 类 型 ) 指 示 消 息 主 体 包 含 了 多 个 独立 的 部 分 。Content-type 首 
部 字段 包含 了 称 为 boundary( 边 界 ) 的 参数 ,定义 了 在 消息 的 不 同 部 分 之 间 的 分 隔 符 ,这 个 
边界 不 应 该 出 现在 消息 的 任何 一 部 分 内 容 之 中 。 每 个 边界 开始 于 一 个 新 行 ,由 两 个 字符 跟 
着 一 个 分 隔 符 组 成 。 指 示 着 最 后 一 个 部 分 结束 的 最 后 一 个 边界 还 有 两 个 连 字 符 作 为 后 缀 。 
在 消息 主体 的 每 个 部 分 ,可 以 存在 可 选 的 普通 的 MIME 首部 。 

Message type 提供 了 MIME 的 一 个 重要 功能 。Message/rfc 822 subtype 指示 消息 主 
体 是 完整 的 消息 ,包括 首部 和 主体 。 尽 管 使 用 了 这 种 子 类 型 名 ,但 包装 的 消息 可 以 不 仅仅 是 
简单 的 RFC 822 消息 ,而 是 任何 MIME 消息 。 

Application type 指 的 是 其 他 种 类 的 数据 ,典型 的 是 邮件 应 用 程序 不 理解 的 二 进 制 数据 
或 信息 。 

Content-Transfer-Encoding 标识 嵌 在 邮件 中 的 二 进 制 数据 是 怎样 被 编码 的 ,目前 有 7 
种 不 同 的 编码 方式 : 7bit、8bit、binary、quoted-printable、base64、ietf-token 和 x-token。 最 
常用 的 对 二 进 制 编 码 方式 是 base64 方式 ,该 方式 中 每 6 位 二 进 制 数据 被 映射 为 一 个 8 位 长 
的 ASCII 文本 字符 。 
9.5.2 S/MIME 对 MIME 类 型 的 扩充 

MIME 允许 对 其 Content-Type 进行 扩充 ,S/MIME 就 是 在 其 基础 上 增加 了 几 种 新 的 
MIME 子 类 型 : S/MIME 对 安全 方面 的 功能 进行 了 扩展 , 它 可 以 把 MIME 实体 (比如 数字 


签名 和 加 密 信息 等 ) 封 装 成 安全 对 象 。S/MIME 增加 了 几 种 新 的 MIME 子 类 型 ,用 于 提供 
数据 保密 完整 性 保护 、 认 证 和 鉴定 服务 等 功能 ( 见 表 9-5)。 
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表 9-5 S/MIME 内 容 类 型 


类 型 子 类 型 S/MIME 参数 描 述 
ia eraned 清除 签名 的 消息 分 成 两 个 部 分 : 一 个 是 
> 消息 部 分 , 另 一 个 是 签名 部 分 
pkcs7-mime signedData 签名 的 S/MIME 实体 
pkcs7-mime envelopedData 加 密 的 S/MIME 实体 
机 pkcs7-mime degenerateSignedData | 只 包含 了 公开 密 钥 证 书 的 实体 
Application 
. 多 部 分 /签名 消息 的 签名 子 部 分 的 内 容 
pkcs7-signature 
类 型 
pkcsl0-mime 证 书 注册 请 求 消息 


9.5.3 S/MIME 中 密码 算法 的 应 用 


表 9-6 总 结 了 S/MIME 中 使 用 的 加 密 算法 。S/MIME 使 用 了 下 面 两 个 取 自 RFC 2119 
的 术语 来 说 明 级 别 的 要 求 。 
MUST( 必 须 ): 这 个 定义 是 协议 的 必须 要 求 。 
SHOULD( 应 该 ) : 建议 实现 包括 这 个 特征 和 功能 。 
表 9-6 S/MIME 中 使 用 的 加 密 算法 


功 能 需 求 
国王“ 民 必须 支持 SHA-1 和 MD5 
人 应 该 使 用 SHA-1 
消息 摘要 算法 St 
发 送 和 接收 代理 必须 支持 DSS 
加 密 消息 摘要 以 发 送 和 接收 代理 应 该 支持 RSA 加 密 
形成 数字 签名 接收 代理 应 该 支持 使 用 长 度 为 512 到 1024 比特 的 密 钥 来 验证 RSA 的 
签名 
发 送 和 接收 代理 必须 支持 Diffie-Hellman 
密会 话 密 多 
a ey 发 送 代理 应 该 支持 使 用 长 度 为 512 到 1024 比特 的 RSA 加 密 
吴 接收 代理 应 该 支持 RSA 解密 
-次 性 会 证 
ea 发 送 代理 应 该 支持 三 重 DES 和 RC2/40 的 加 密 
接收 代理 应 该 支持 三 重 DES 的 解密 ,必须 支持 RC2/40 的 解密 
传输 的 消息 


只 需 简 单 地 看 一 下 密 钥 的 长 度 就 能 知道 哪 种 算法 更 好 : 密 钥 越 长 ,安全 性 就 越 高 。 然 
而 接收 发 双方 并 不 总 是 处 在 同一 水 平 线 上 。 例 如 ,发 送 方 代理 可 能 试图 使 用 RC2/128 来 加 
密 从 而 增加 安全 性 ; 然而 接收 方 可 能 只 具有 RC2/40 解密 的 能 力 。 因 此 S/MIME 协议 定义 
了 一 个 过 程 , 当 要 发 送 S/MIME 消息 时 ,该 过 程 可 以 定义 一 个 最 好 的 算法 。 下 面 是 发 送 方 
代理 做 决策 时 应 该 使 用 的 一 些 指定 的 规则 : 

(1) 已 知 能 力 。 如 果 发 送 代理 在 此 前 接收 到 了 接收 方 一 个 密码 学 功能 的 列表 , 则 发 送 
方 应 该 选择 列 出 的 第 一 个 功能 来 加 密 要 发 送 的 数据 。 

(2) 未 知 能 力 但 已 知 使 用 了 加 密 。 如 果 发 送 方 代理 对 接收 方 代理 的 解密 能 力 不 清 楚 ， 
但 至 少 从 接收 方 接收 过 一 条 以 前 曾经 加 了 密 的 消息 , 则 此 时 发 送 代 理应 该 使 用 以 前 的 那 种 


212 计算 机 系统 安全 教程 


算法 来 加 密 要 发 送 的 消息 。 

(3) 未 知 能 力 且 未 知 S/MIME 版 本 。 当 发 送 方 以 前 没有 与 接收 方 联系 过 ,也 不 知 接收 
方 的 能 力 时 ,如 果 发 送 方 愿意 冒 着 接收 者 可 能 不 能 解密 消息 的 危险 , 则 应 该 使 用 三 重 DES; 
如 果 不 愿 冒 这 个 险 , 那 么 发 送 方 必须 使 用 RC2/40。 


9.5.4 S/MIME 消息 


S/MIME 消息 准备 的 过 程 是 首先 安全 化 一 个 MIME 实体 ,然后 按照 S/MIME 内 容 类 
型 来 包装 数据 。 

S/MIME 使 用 签名 、 加 密 或 同时 使 用 两 者 来 保证 MIME 实体 的 安全 。 一 个 MIME 实 
体 可 能 是 一 个 完整 的 消息 (除了 RFC 822 首部 ) ,或 者 如 果 MIME 内 容 类 型 是 多 部 分 的 , 那 
么 一 个 MIME 实体 是 消息 的 一 个 或 多 个 子 部 分 。MIME 实体 按照 MIME 消息 准备 的 一 般 
规则 来 准备 。 然 后 ,该 MIME 实体 加 上 一 些 与 安全 有 关 的 数据 ,如 算法 标识 符 和 证 书 , 被 
S/MIME 处 理 以 生成 pkcs 的 对 象 。 然 后 pkcs 对 象 被 看 做 消息 内 容 并 包装 成 MIME。 

S/MIME 内 容 类 型 有 封装 数据 (enveloped data) .签名 数据 (signed data) .清除 签名 
(clear signing) 和 封装 上 且 签 名 的 数据 (enveloped-and-signed data)。 对 不 同 的 数据 类 型 其 包 
装 过 程 也 不 一 样 。 

准备 一 个 封装 数据 的 MIME 实体 步骤 如 下 : 

(1) 特定 的 对 称 加 密 算法 (RC2/40 或 3DES 算 法) 生成 伪 随 机 的 会 话 密 钥 ; 

(2) 对 每 个 接收 者 ,使 用 接收 者 的 公开 RSA 密 钥 对 会 话 密 钥 进行 加 密 ; 

(3) 对 每 个 接收 者 准备 称 为 RecipientInfo( 接 收 者 信息 ) 的 数据 块 ,该 块 中 包含 了 发 送 
者 的 公开 密 钥 证 书 、 用 来 加 密会 话 密 钥 算 法 的 标识 以 及 加 密 的 会 话 密 钥 ; 
(4) 使 用 会 话 密 钥 加 密 消息 的 内 容 。 
RecipientInfo 后 面 跟着 加 密 的 内 容 组 成 了 包装 数据 。 然 后 使 用 radix-64 对 这 个 信息 编 
简单 消息 (去 掉 RFC822 的 首部 ) 如 下 所 示 : 


站 


Content — Type: application/x— pkcs7 ~ mime; smime - type = enveloped - data; 

boundary = "一 -= _NextPart 000_0027_01C8EBD2.D498C3A0"; 

name = "smime. p7m" Content — Transfer — Encoding: base64 

Content - Disposition: attachment; filename = "smime. p7m" 

DRXyJubDNnvRcEUIQY51 + zKSXy2C10axMdgXKkupTUAEkEbk41XZhoq5IZtGIki9Eb/Szal81dXTV1PfaFIjgXB/ 
Qx + VnQr + ncUvrCeic210sHCSK43LCg/Icldv4vtrV5S/1U3zDxni2VQtjKuksZIKjifcPvFNDzJJSf7icpOpqNu 
Rw7Aggive3 + mOhkwMFSamUEdV8uLSBDi/cUYxj + ExN8V/Ul9Yatco + meGoYx7sq + q3enaPuTE913bcCBFKteY + 十 
nuMs6//qHCYkVMCYCznwAAAAAAAAAAAAA = 


为 了 恢复 加 密 的 消息 ,接收 者 首先 去 掉 base64 编码 ,然后 使 用 接受 者 的 私有 密 钥 来 恢 
复 会 话 密 铀 。 最 后 使 用 会 话 密 钥 来 解密 消息 内 容 。 

对 于 签名 数据 ,准备 一 个 MIME 实体 的 过 程 如 下 : 

(1) 选择 签名 算法 (SHA-1 或 MD5); 

(2) 计算 需要 签名 内 容 的 消息 摘要 ; 

(3) 使 用 发 送 者 的 私有 密 钥 加 密 消 息 摘要 ; 

(4) 准备 成 为 SignerInfo( 签 名 者 信息 ) 的 数据 块 : 该 块 中 包含 了 签名 者 的 公开 密 钥 证 
书 、 消 息 摘要 算法 的 一 个 标识 符 、 用 来 加 密 消息 摘要 算法 的 标识 符 以 及 加 密 的 消息 摘要 。 签 
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名 数据 实体 包括 消息 摘要 算法 标识 符 、 被 签名 的 消息 和 SignerInfo。 然 后 使 用 base64 进行 
编码 。 简 单 消息 (去 掉 RFC 822 的 首部 ) 如 下 所 示 : 


Content - Type: application/x— pkcs7 — mime; smime — type = signed — data; 

boundary = " 一 一 = _NextPart 000_003A_01C8EB4D. 5C942140";name = "smime. p7m" 

Content — Transfer ~ Encoding: base64 

Content - Disposition: attachment;filename = "smime. p7m" DA3MjEwODEAMDdaMCMGCSqGSIb3DQEJBDE- 
WBBOXJTYEVhGaGMDB/153dudhFIG4zDBbBgkqhkiG9w0BCO8xTjBMMRoGCCqGSIb3DOMHMR4GCCqGSIb3DQOMCRgIRG- 
DANBggqhk iG9wODAgIBQDAHBgUrDgMCBzANBggqhk iG9wODAgIBKDAHBgUrDgMCHTANBgkqhk iG9wOBAQEFAARAtct- 


V82taQdomI/xuwBQ4RsM6PRu8MV7X2KM9DRA3JNRuh + hbtv6DOm9hM/BZb9fs27ZWao//NxsTq0SrluHBK + wAAAA- 
AAAA == 


为 了 恢复 签名 的 消息 和 验证 签名 ,接收 者 首先 要 除 掉 base64 编码 ,然后 使 用 签名 者 的 
公开 密 钥 来 解密 消息 摘要 。 接 收 者 单独 计算 消息 的 摘要 并 且 将 它 与 解密 后 的 消息 摘要 相 比 
较 来 验证 签名 。 

发 送 方 已 经 签名 的 数据 可 能 会 被 一 个 与 S/MIME 不 兼容 的 接收 者 收 到 ,这样 会 导致 初 
始 的 内 容 不 可 用 。 为 解决 这 个 问题 ,S/MIME 使 用 一 个 可 供 选 择 的 结构 multipart/signed 
类 型 。 

Multipart/signed 类 型 的 主体 由 两 个 部 分 组 成 。 第 一 个 部 分 可 以 是 任意 的 MIME 内 容 
类 型 ,以 明文 的 形式 保留 并 置 于 最 后 的 消息 中 。 第 二 部 分 的 内 容 是 签名 数据 的 一 种 特殊 情 
况 , 称 为 独立 签名 , 它 省 略 了 可 能 包含 在 签名 数据 里 面 的 明文 的 复制 。 简 单 消息 (去 掉 RFC 
822 的 首部 ) 如 下 所 示 


Content - Type: multipart/signed; protocol = "application/x — pkcs7 — signature"; 

micalg = SHA1; boundary = " -一 一 = _NextPart 000_0064_01C8EB4D.C55573A0" 

PP = _NextPart_000_0064_01C8EB4D. C55573R0 
Content — Type: application/x— pkcs7 — signature; 

name = "smime. p7s" Content - Transfer - Encoding: base64 
Content - Disposition: attachment; filename = "smime.p7s" 
MIAGCSqGSIb3DQOEHAqDAKBggqhkiG9wODBzAOBggqhk iG9wODAgICAIAwDQYIKoZIhvcNAwICAUAwBwYFKw4D- 
AgcwDQYIKoZIhvcNAwICASgwBwYFKwADAhOwDQYJKoZIhvcNAQEBBQAEQGautHygOUAUBBCCy9CX6xubc5URywX + 
tgFPyE/XTMt200024qPSaaBVcc2tCpl jwTO90AugYDRWJ99FaqQ0acUAAAAAAAA = 

mp = _NextPart 000_0064 _01C8EB4D.C55573A0 一 


这 时 候 准 备 MIME 实体 的 过 程 可 以 先 加 密 数 据 后 签名 ,也 可 以 先 签名 后 加 密 数 据 。 即 
误 套 使 用 envelopedData 和 SignedData。 简 单 消息 (去 掉 RFC 822 的 首部 ) 如 下 所 示 : 


Content — Type: application/x— pkcs7 — mime; 

smime — type = enveloped — data; 

boundary = "————= _NextPart 000_0035_01C8EBD4.69ACDE30"; 

name = "smime. p7m" 

Content — Transfer — Encoding: base64 

Content — Disposition: attachment; 

filename = "smime. p7m" 

LnT1jIez6znCaujjbkJNReluVf61tkuFQ7PnICMs3IXNNFF73gv + 0 + TqRoCSHGTi/Y6z0HV9ZWDoeVXoTrhU98- 
U7zQr4YweRibdVNDtMGGm + pgPLd81nqpW8iZRRD1y6nJKuvM81usWw/AjZfGtrVKAOyKtbnzH + hzRik2YaE2Npc- 
ijDsstgr9 + NZ]WNo5xVXNN/]1Wxo3YHahj0528Gt/WsKRADpuSJrPdr0ajjP5id5IWJ54hyx8oVqXC7EBhdTVRZ]j- 
OeAD9DvmdLOZB2YirJi7eRhcb/62uAAAAAAAAAAAAAA == 
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9.5.5 S/MIME 证 书 的 处 理 


S/MIME 使 用 符合 X. 509 版 本 3 标准 的 公开 密 钥 证 书 。S/MIME 使 用 的 密 钥 管理 方 
法 是 严格 的 X. 509 证 明 层 次 和 PGP 的 信任 网 络 的 混合 。S/MIME 的 管理 者 必须 为 用 户 配 
置 可 信任 的 密 钥 表 和 废除 证 书 的 列表 。 证 书 是 被 认证 机 构 签 了 名 的 。 

S/MIME 用 户 可 以 完成 以 下 密 钥 管理 功能 。 

(1) 密 钥 的 生成 : 与 管理 有 关 的 使 用 程序 的 用 户 必 须 能 够 生成 单独 的 Diffie-Hellman 
和 DSS 密 钥 对 ,并 且 应 该 能 够 生成 RSA 密 钥 对 。 每 个 密 钥 对 必须 从 一 个 好 的 不 确定 的 随 
机 输入 源 生成 ,并 且 采 用 安全 的 方式 进行 保护 。 用 户 代 理应 该 生成 768 一 1024bit 间 的 密 钥 
对 ,并 且 一 定 不 能 生成 小 于 512b 的 密 钥 对 。 

(2) 注册 : 用 户 的 公开 密 钥 和 认证 一 起 注册 获得 X. 509 公开 密 钥 证 书 。 

(3) 证 书 的 存储 和 查询 : 用 户 需要 访问 证 书 的 本 地 列表 来 验证 进入 的 签名 和 输出 的 消 
息 加 密 。 这 样 的 一 张 表 可 以 让 用 户 进 行 维护 。 

X. 509 是 一 个 重要 的 标准 ,基于 公开 密 钥 加 密 和 数字 签名 ,这 个 标准 没有 专门 指定 使 用 
的 加 密 算法 ,但 推荐 使 用 RSA。 其 核心 部 分 是 与 每 个 用 户 联系 的 公开 密 钥 证 书 , 实 际 上 
X. 509 证 书 是 一 种 由 发 布 者 数字 签名 的 用 于 绑 定 某 种 公开 密 钥 和 其 持 有 者 身份 的 数据 结 
构 。 证 书 ,数字 证 书 .电子 证 书 等 都 是 X. 509 证 书 的 同义词 ,有 时 也 称 为 公 钥 证 书 , 是 一 种 
权威 性 的 电子 文档 ,尤其 具有 权威 性 .可 信任 性 及 公正 性 的 第 三 方 机 构 (CA) 颁 发 。 数 字 证 
书包 括 以 下 要 素 。 

。 版 本 : 默认 的 版 本 是 第 1 版 。 

。 序列 号 : 在 发 布 证 书 中 的 一 个 有 唯一 性 的 整数 值 ,是 与 这 张 证 书 有 明确 联系 的 。 

。 颁布 者 名 字 : 创建 和 签名 这 个 证 书 的 第 三 方 机 构 (CA) 的 X. 509 名 字 。 

。 有 效 期 : 由 两 个 日 期 组 成 ,证 书 的 有 效 起 始 日 期 和 结束 日 期 。 

。 主体 名 : 这 张 证 书 提 及 的 用 户 名 。 

。 主体 的 公开 密 钥 信息 : 主体 的 公开 密 钥 加 上 这 个 密 钥 使 用 算法 的 标识 符 , 以 及 算法 

的 相关 参数 。 
。 签名 : 它 保护 用 CA 私有 密 钥 加 密 的 其 他 字段 的 散 列 码 。 


9.5.6 增强 的 安全 服务 


目前 ,可 以 使 用 三 种 可 选 的 增强 的 安全 服务 来 扩展 当前 的 S/MIMEv3 安全 以 及 证 书 处 
理 服务 。 

签名 收据 : 签名 收据 是 一 种 可 选 的 服务 , 它 考虑 的 是 消息 发 送 的 证 明 。 收 据 为 发 送 者 
提供 了 一 种 向 第 三 方 出 示 证 明 的 手段 : 接收 者 不 仅 收 到 了 消息 ,而且 验 证 了 初始 消息 的 数 
字 签 名 。 最 后 ,接收 者 对 整个 消息 以 及 相应 的 签名 进行 签名 作为 接收 的 证 明 。 该 服务 仅仅 
用 于 签名 的 数据 。 

安全 标签 : 安全 标签 可 以 通过 两 种 方式 来 使 用 。 第 一 种 ,也 可 能 是 最 容易 识别 的 方法 ， 
就 是 描述 数据 的 敏感 级 。 这 可 以 使 用 一 个 分 级 的 标签 列表 (机 密 、 秘 密 、 限 制 等 )。 另 一 项 技 
术 是 使 用 标签 来 控制 授权 和 访问 ,描述 哪 一 类 接收 者 可 以 访问 数据 。 
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安全 邮件 列表 : 当 S/MIME 协议 提供 它 的 服务 时 ,发 送 代理 必须 为 每 一 个 接收 者 创建 
特定 于 接收 者 的 数据 结构 。 随 着 某 一 个 特定 消息 的 接收 者 的 数目 的 增加 ,这 一 处 理 可 能 会 
削弱 发 送 消息 的 性 能 。 这 样 ,邮件 列 表 代 理 可 以 接收 一 个 单独 的 消息 并 针对 每 一 个 接收 者 
完成 特定 于 接收 者 的 加 密 。 


9.5.7 S/MIME 的 应 用 


数字 证 书 也 叫 数字 标识 (Digital ID) ,一 般 由 权威 公正 的 第 三 方 机 构 即 CA 签发 ,数字 
证 书 将 用 户 身份 、 公 钥 通 过 数字 签名 绑 定 。 公 钥 所 对 应 的 私 钥 由 用 户 秘 密 持 有 , 公 钥 和 私 钥 
构成 了 公 钥 加 密 算法 的 密 钥 对 ,可 用 来 加 解密 或 进行 数字 签名 。 

数字 证 书 有 代码 签名 证 书 ,安全 电子 邮件 证 书 、 个 人 和 单位 身份 证 书 以 及 服务 器 证 书 等 
几 种 类 型 ,分 别 应 用 于 不 同 的 场合 。 例 如 代码 签名 证 书 主要 用 于 给 程序 签名 ; 安全 电子 邮 
件 证 书 用 于 给 邮件 数字 签名 ; 而 个 人 数字 证 书 用 途 则 很 广 , 可 以 用 来 给 Office XP 文档 、 软 
件 代码 .XML 文件 .Email 等 文件 签名 。 数 字 证 书 可 以 通过 网 络 向 相关 CA 机 构 申 请 获得 ， 
或 者 使 用 makecert 之 类 的 工具 自己 生成 。 数 字 证 书 可 以 存放 在 计算 机 的 硬盘 、 软 盘 或 IC 
卡 中 。 

1. 获取 数字 证 书 


获得 数字 ID 有 多 种 方法 。 有 供 教学 模拟 的 数字 证 书生 成 软件 ,也 可 以 在 线 申 请 。 另 
外 ,Windows 2003 Server 具备 证 书 组 件 。 

如 果 用 命令 行 工 具 makecert 生成 数字 证 书 ,应 首先 下 载 微软 的 Authenticode for 
Internet Explorer 5. 0 ,该 工具 包 中 有 个 makecert. exe 程序 ,可 以 用 它 来 制作 自己 的 数字 证 
书 。 这 种 方法 生成 的 数字 证 书 虽 然 不 属于 受信 任 的 证 书 , 但 能 够 正常 使 用 ,操作 步 又 是 : 在 
命令 提示 行 中 ,用 CD 命令 进入 makecert. exe 所 在 目录 ,然后 输入 以 下 命令 : 


makecert [options] outputCertificateFile 


Makecert. exe 包含 基本 选项 和 扩展 选项 。 基 本 选项 是 最 常用 于 创建 证 书 的 选项 ; 扩展 
选项 提供 更 多 的 灵活 性 。 主 要 的 基本 选项 包括 : 
。-n x509name 指定 主题 的 证 书 名 称 。 此 名 称 必须 符合 X. 509 标准 。 最 简单 的 方法 
是 在 双 引 号 中 指定 此 名 称 , 并 加 上 前 级 CN 一; 例如 ,"CN 一 myName'"。 
。 -pe 将 所 生成 的 私 钥 标 记 为 可 导出 。 这 样 可 将 私 钥 包 括 在 证 书 中 。 
。 -sk keyname 指定 主题 的 密 钥 容器 位 置 ,该 位 置 包含 私 铀 。 如 果 密 钥 容器 不 存在 , 系 


统 将 创建 一 个 。 
。 -sr location 指定 主题 的 证 书 存储 位 置 。Location 可 以 是 currentuser( 默 认 值 ) 或 
localmachine。 


。 -ss store 指定 主题 的 证 书 存储 名 称 ,输出 证 书 即 存储 在 那里 。 

。 -# number 指定 一 个 介 于 1 和 2,147,483, 647 之 间 的 序列 号 。 默 认 值 是 由 
Makecert. exe 生成 的 唯一 值 。 

。 -$ authority 指定 证 书 的 签名 权限 .必须 设置 为 commercial( 对 于 商业 软件 发 行者 
使 用 的 证 书 ) 或 individual( 对 于 个 人 软件 发 行者 使 用 的 证 书 ) 。 
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主要 的 扩展 选项 包括 : 

。 -a algorithm 指定 签名 算法 。 必 须 是 md5( 默 认 值 ) 或 shal。 

。 -b mm/dd/yyyy 指定 有 效 期 的 开始 时 间 。 默 认为 证 书 的 创建 日 期 。 

。 -cy certType 指定 证 书 类 型 。 有 效 值 是 end( 对 于 最 终 实 体 ) 和 authority( 对 于 证 书 

颁发 机 构 )。 

。 -d name 显示 主题 的 名 称 。 

。-e mm/dd/yyyy 指定 有 效 期 的 结束 时 间 。 默 认为 12/31/2039 11: 59: 59 GMT。 

。 -ir location 指定 颁发 者 的 证 书 存储 位 置 。Location 可 以 是 currentuser( 默 认 值 ?或 

localmachine, 

。 -is store 指定 颁发 者 的 证 书 存储 名 称 。 

。 -sv pvkFile 指定 主题 的 . pvk 私 钥 文件 。 如 果 该 文件 不 存在 ,系统 将 创建 一 个 。 

例如 : makecert testCert. ce 创建 了 一 个 由 默认 测试 根 颁发 的 测试 证 书 ,并 将 其 写 入 
testCert. cer。makecert -ss testCertStore 创建 了 一 个 由 默认 测试 根 颁发 的 证 书 并 将 其 保存 
到 证 书 存储 区 。makecert -sv testCert. pvk -ss testCertStore testCert. cer 创建 了 一 个 由 默 
认 测 试 根 颁发 的 证 书 和 一 个 . pvk 文件 ,并 将 此 证 书 同时 输出 到 存储 区 和 该 文件 。makecert-sv 
lacl. pvk-n "CN 二 lacl" -ss My-b 01/01/2005-e 01/01/2095 lacl. cer 执行 后 ,将 弹出 一 个 窗 
口 ,要 求 设置 私 是 密码 ,如 果 不 设 密码 , 单 击 “ 无 ”按钮 即 可 。 于 是 在 makecert. exe 程序 所 在 
目录 下 ,就 生成 了 数字 证 书 文件 lacl. cer 和 对 应 的 私 匙 文件 lacl. pvk。 

可 以 在 网 上 向 一 些 CA 申请 数字 证 书 , 例 如 中 国 数字 认证 网 (http: //www. ca365. 
com) .广东 省 电子 商务 认证 中 心 (http: //www. cnca. net/)、 博 大 证 书 (http: //ca. foxmail. 
com. cn/) 、 天 威 诚信 (http: //www. itrus. com. cn) 等 。 这 里 用 网 证 通 NETCA 电子 认证 系 
统 作为 例子 https: //testca. netca. net/ 。 登 录 后 , 单 击 “ 证 书 申请 ” ,选择 “试用 型 个 人 数字 
证 书 申请 ” ,注意 只 有 安装 了 根 证 书 ( 证 书 链 ) 的 计算 机 ,才能 完成 后 面 的 申请 步 又 和 正常 使 
用 申请 的 数字 证 书 。 按照 提示 ,选择 “安装 试用 CA 证 书 链 ”。 安 装 成 功 出 现 提示 框 后 ,可 以 
看 到 一 个 表单 。 按 照 表单 上 的 提示 ,输入 完整 的 个 人 资料 。 选 择 加 密 服务 提供 程序 
(Cryptographic Service Provider,CSP) ,这 里 ,CSP 负责 创建 密 钥 .吊销 密 钥 ,以 及 使 用 密 钥 
执行 各 种 加 密 、 解 密 操作 。 每 个 CSP 都 提供 了 不 同 的 实现 方式 。 当 使 用 特别 的 数字 证 书 存 
储 介质 (如 : 智能 IC 卡 或 USB 电子 令 牌 ) 存 储 数字 证 书 及 其 相应 的 私有 密 钥 时 ,可 以 在 “加 
密 服 务 提 供 程序 (CSP) ”下拉 框 中 选择 该 存储 介质 生产 厂商 提供 的 CSP。 这 里 可 以 选择 
“Microsoft Base Cryptagraphic Provider V1.0”。 补 充 信息 可 以 选 填 : 有 效 证 件 类 型 .证件 
号 码 .出 生日 期 .性 别 . 住 址 .通信 地 址 .通信 所 在 地 邮政 编码 、 联 系 电话 、 传 真 号 码 .存储 介质 
等 。 然 后 单 击 按钮 提交 。 进 行 上 述 步骤 后 ,系统 将 发 一 封 申请 成 功 的 信件 到 申请 时 使 用 的 
邮箱 内 ,其 中 包括 业务 受理 号 和 密码 , 数字 证 书 下 载 的 地 址 。 点 击 数字 证 书 下 载 地 址 ,填写 
业务 受理 号 和 密码 进行 下 载 。 

如 果 要 在 已 经 安装 了 Windows 的 服务 器 上 安装 证 书 服务 以 创建 证 书 颁发 机 构 ,需要 打 
开 “ 控 制 面板 ”中 的 “添加 或 删除 程序 ”。 选 择 了 安装 证 书 服务 之 后 , “证书 服务 安装 向 导 ” 将 
指导 完成 安装 过 程 。 默 认 情 况 下 ,证 书 授权 机 构 为 用 户 和 管理 员 提 供 了 可 用 的 网 页 用 于 执 
行 与 申请 证 书 相 关 的 多 种 任务 ,这 些 网 页 位 于 http: //servername/certsrv, 其 中 
servername 是 驻 留 证 书 颁 发 机 构 的 服务 器 名 称 。 


第 9 章 电子 邮件 安全 多 这 


2. 查看 导入、 导出、 删除 数字 证 书 

用 MMC 来 查看 。 选 择 * 开 始 ” 盖 运行 ”命令 ,输入 MMSC 打开 “控制 台 ”, 选 择 “ 文 件 ” 一 
“添加 /删除 管理 单元 ”命令 ,在 弹出 的 对 话 框 中 单 击 “添加 ?按钮 ,然后 在 管理 单元 列表 中 双 
击 “ 证 书 ”, 选 中 “我 的 用 户 账户 ”, 青 单 击 “ 完 成 "按钮 , 回 到 “控制 台 根 节点 ”, 窗 口 下 面 显 示 就 
是 当前 用 户 的 所 有 证 书 。 

用 certmgr. msc 查看 。 和 选择“ 开始 ”一 运行 ”命令 ,输入 certmgr. msc, 在 打开 的 窗口 
中 , 单 击 “ 个 人 ”下 面 的 “证 书 ”, 可 看 到 所 有 证 书 。 

用 Certmgr 查看 。Authenticode for Internet Explorer 5. 0 工具 包 里 面 有 个 Certmgr. 
exe 程序 ,可 以 查看 计算 机 中 的 数字 证 书 。 双 击 Certmgr. exe, 就 会 弹出 一 个 窗口 ,显示 数字 
证 书 列表 。 

在 Internet 选项 中 查看 。 运 行 Internet Explorer, 选 择 “ 工 具 ”>“Internet 选项 ”命令 ， 
打开 “内 容 ” 选 项 卡 , 单 击 “ 证 书 ” 按 钮 ,也 可 以 查看 本 机 上 的 数字 证 书 。 在 “证 书 ” 对 话 框 中 ， 
打开 “个 人 ”选项 卡 , 即 可 看 到 个 人 数字 证 书 列表 ; 选 定 某 个 数字 证 书 , 单 击 “ 查 看 ”按钮 ,可 
以 看 到 该 数字 证 书 的 详细 信息 。 

在 证 书 窗 口 ,也 可 以 导出 数字 证 书 . 导 入 数字 证 书 、 删 除数 字 证 书 。 

3. 保护 电子 邮件 

数字 证 书 最 常见 的 应 用 就 是 发 送 安 全 电子 邮件 , 即 利用 安全 电子 邮件 数字 证 书 对 电子 
邮件 签名 和 加 密 。 安 全 电子 邮件 证 书 中 包含 证 书 持 有 者 的 电子 邮件 地 址 、 公 钥 及 CA 中 心 
的 签名 。 使 用 安全 电子 邮件 证 书 可 以 收发 加 密 和 数字 签名 邮件 ,保证 电子 邮件 传输 中 的 机 
密 性 ,完整 性 和 不 可 否认 性 ,确保 电子 邮件 通信 各 方 身份 的 真实 性 。 证 书 可 以 存储 在 硬盘 、 
USB 中 。 需 要 注意 的 是 ,证 书 中 的 邮件 地 址 必须 同 绑 定 的 邮件 账号 一 致 。 

在 Outlook Express 中 设 定 邮 件 账 户 。 打 开 Outlook Express, 然 后 选择 “工具 ”一 “ 账 
户 ” 命 令 ,出 现 *Internet 账户 ”对 话 框 , 单 击 右边 的 “添加 ”按钮 ,选择 “邮件 ”选项 。 输 入 邮件 
显示 姓名 , 单 击 “下 一 步 ? 按 钮 ,输入 电子 邮件 地 址 ; 单 击 * 下 一 步 ? 按 钮 ,分 别 输入 接收 邮件 
服务 器 和 发 送 邮 件 服务 器 的 域名 或 IP 地 址 。 继 续 单 击 * 下 一 步 ? 按 钮 ,系统 让 输入 登录 到 邮 
箱 的 账号 和 密码 ,建议 选中 “使 用 安全 密码 验证 " 复 选 框 。 继 续 单 击 “ 下 一 步 ” 按 钮 ,可 以 看 到 
成 功 设置 了 一 个 新 的 账户 。 

邮箱 与 数字 证 书 的 绑 定 。 在 Outlook Express 6. 0 中 选择 “工具 ”一 “账号 ”命令 ,选取 
“邮件 ”选项 中 的 邮件 账号 , 即 刚才 建立 的 账号 ,然后 单 击 * 属 性 ?按钮 。 选 择 上 面 的 “安全 ” 
标签 ,可 以 看 到 “签署 证 书 ” 和 ”加密 首 选项 两 栏 。 在 “签署 证 书 ” 项 后 , 单 击 “选择 "按钮 。 选 
择 数字 证 书 , 单 击 “ 确 定 ? 按 钮 完成 邮箱 与 证 书 的 绑 定 。 如 果 单 击 * 选 择 " 按 钮 ,没有 相关 的 证 
书 弹出 来 ,请 确认 证 书 已 经 正确 安装 上 且 没 有 过 期 ,同时 要 确认 在 Outlook Express 中 所 设置 
的 邮箱 与 在 申请 数字 证 书 时 所 提供 的 邮箱 一 致 。 按 照 同样 的 方法 ,也 可 以 在 “加 密 首 选项 ” 
中 把 自己 的 证 书 选中 。 最 后 设置 安全 邮件 高 级 选项 ,选择 “工具 ”一 “选项 ”>“ 安 全 ”命令 。 
选择 安全 邮件 的 “高 级 ”选项 进行 设置 。 

发 送 签名 的 电子 邮件 。 启 动 Outlook Express 6.0, 单 击 “ 新 邮件 ”, 撰 写 新 邮件 。 同 时 
选中 工具 中 的 “数字 签名 ”选项 。 单 击 “ 发 送 " 按 钮 .签名 邮件 发 送 成 功 。 当 收 件 人 收 到 并 打 
开 有 数字 签名 的 邮件 时 ,将 看 到 数字 签名 邮件 的 提示 信息 , 单 击 “ 继 续 ” 按 钮 后 , 才 可 阅读 到 
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该 邮件 的 内 容 。 

接收 签名 电子 邮件 。 若 邮件 在 传输 过 程 中 被 他 人 算 改 或 发 信人 的 数字 证 书 有 问题 ,将 
出 现 “ 安 全 警告 "提示 。 收 到 邮件 后 ,可 以 看 到 邮件 的 右边 中 间 有 一 个 红色 的 小 图 标 , 单 击 
它 , 可 以 看 到 相关 的 数字 证 书信 息 。 

发 送 加 密 的 电子 邮件 。 发 送 加 密 邮 件 前 必须 先 获得 接收 方 的 数字 标识 ,可 以 首先 让 接 
收 方 发 一 份 签名 邮件 来 获取 对 方 的 数字 标识 .或 者 直接 到 认证 中 心 的 网 站 去 查询 下 载 来 获 
取 对 方 的 数字 标识 .或 者 通过 附件 传送 证 书 ( 扩 展 名 . cer)。 启 动 Outlook Express 6.0, 单 击 
“新 邮件 ”, 撰 写 新 邮件 ,同时 选中 工具 的 加密” 选项 。 

接收 加 密 的 电子 邮件 。 接 收 到 加 密 邮 件 后 需要 解密 。 接 收 加 密 的 电子 邮件 ,确定 后 
即 可 。 


4. 保护 网 站 以 防 假冒 


为 了 防范 黑客 假冒 网 站 ,可 以 申请 一 个 服务 器 证 书 ( 例 如 到 广东 省 电子 商务 认证 中 心 
http: //www. cnca. net/ 申 请 ) ,然后 双击 “控制 面板 | 管理 工具 |Internet 信息 服务 | 默认 
Web 站 点 | 目录 安全 性 | 服务 器 证 书 ”, 按 提示 安装 服务 器 证 书 。 安 装 成 功 后 ,在 网 站 醒目 位 
置 将 显示 “VeriSign 安全 站 点 ” 签 章 .并 提示 用 户 点 击 验 证 此 签 章 。 点 击 此 签 章 ,就 会 连接 
VeriSign 全 球 数据 库 验 证 网 站 信息 ,然后 显示 真实 站 点 的 域名 信息 及 该 站 点 服务 器 证 书 的 
状态 。 另 外 ,如 果 网 站 有 以 下 两 样 标志 , 则 表明 该 网 站 激活 了 服务 器 证 书 , 此 时 已 建立 了 
SSL 连接 。 观 察 要 提交 个 人 信息 页 面 的 网 址 前 ,是 否 带 有 “https: // "标志 (这 里 的 S 代表 
安全 网 站 ); 观察 网 页 的 状态 栏 中 是 否 有 一 把 金色 小 锁 , 双 击 该 锁 会 弹出 该 站 点 的 服务 器 证 
书 , 里 面包 含 了 真实 站 点 的 域名 及 证 书 有 效 期 。 如 果 状 态 栏 中 没有 金 锁 \ 或 者 它 是 打开 的 ， 
那么 表示 提交 的 信息 将 不 会 被 加 密 。 

5. 使 用 代码 签名 防止 软件 被 算 改 


可 以 利用 代码 签名 证 书 给 软件 签名 ,防止 软件 被 算 改 (例如 软件 中 添加 木马 或 病毒 )。 
微软 Authenticode 工具 包 中 有 一 个 signcode. exe, 可 以 专门 给 代码 签名 ,能 对 32 位 的 、 后 组 
为 .exe(PE 文件 )、. cab、. dll、. vbd 和 . ocx 的 文件 进行 数字 签名 。signcode 运行 后 会 出 现 数 
字 签 名 向 导 ,首先 选择 要 签名 的 文件 ,下 一 步 后 会 出 现 签 名 选项 ,一 种 是 典型 ,一 种 是 自 定 
义 。 选 择 * 典 型 ,适用 于 代码 签名 证 书 存储 在 IC 卡 和 浏览 器 等 存储 器 中 。 选 择 “ 自 定义 ”， 
适用 于 代码 签名 证 书 以 SPC 文件 形式 存储 , 私 钥 文件 以 PVK 形式 存储 (Authenticode 工具 
包 中 cert2spc. exe 将 cer 格式 证 书 转换 成 spc 格式 证 书 , 即 PKCS #7 证 书 )。 完 成 签名 后 ， 
可 以 右 击 经 过 数字 签名 的 代码 文件 ,然后 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,查看 其 签名 
和 证 书 , 即 可 得 知 该 软件 的 发 布 者 。 


习 题 9 


1. 设计 一 个 安全 的 电子 邮件 系统 应 从 哪 几 个 方面 进行 考虑 ? 
2. 安全 电子 邮件 标准 有 哪些 ? 


第 9 章 电子 邮件 安全 
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oo 册 中 四 心 虽 


. 一 个 完整 的 电子 邮件 系统 包括 哪 几 个 组 件 ? 
. 电子 邮件 主要 存在 哪些 安全 问题 ? 

. 简 述 PGP 的 功能 。 

. PGP 如 何 实 现 加 密 和 认证 ? 

. S/MIME 中 增强 了 哪些 安全 服务 ? 

. 简单 描述 一 下 S/MIME 的 应 用 。 


第 10 章 IP 安全 


Internet 的 网 络 安全 体系 结构 目前 仍 处 在 发 展 阶段 ,人 们 正在 从 不 同 的 角度 来 试图 解 
决 Internet 的 安全 问题 。 网 络 层 是 TCP/IP 协议 网 络 中 最 关键 的 协议 层 ,IP 作为 网 络 层 协 
议 , 其 安全 机 制 可 对 其 上 层 的 各 种 应 用 服务 提供 透明 的 履 盖 式 安全 保护 。 因 此 ,IP 安全 是 
整个 网 络 安全 的 基础 ,是 网 络 安全 的 核心 。 


10.1 概 述 


IP 层 是 TCP/IP 网 络 中 最 关键 的 一 层 ,IP 作为 网 络 层 协议 ,其 安全 机 制 可 对 它 上 层 的 
各 种 应 用 服务 提供 透明 的 覆盖 式 安全 保护 。 为 了 实现 安全 IP,Internet 工作 任务 组 IETF 
于 1994 年 开始 了 一 项 IP 安全 工程 ,专门 成 立 了 IP 安全 协议 工作 组 IESEC, 来 制定 和 推动 
一 套 称 为 IPSec(Internet Protocol Secutity) 的 IP 安全 协议 标准 。 其 目标 就 是 把 安全 特征 
集成 到 IP 层 , 以 便 对 Internet 的 安全 业务 提供 低层 的 支持 。 


10. 1.1 IPSec 的 结构 


IPv4 包 本 身 没有 任何 安全 特性 ,攻击 者 很 容易 便 可 伪造 出 IP 包 的 地 址 、 修 改 其 内 容 、 
重播 以 前 的 包 以 及 在 传输 途中 拦截 并 查看 包 的 内 容 。 因 此 ,有 时 收 到 的 IP 数据 报 源 地 址 可 
能 不 是 来 自 真实 的 发 送 方 (IP 头 内 的 源 地 址 ); 包含 的 原始 数据 可 能 遭 到 更 改 ; 原始 数据 在 
传输 中 可 能 被 其 他 人 浏览 。 

IPSec 的 目标 是 为 IPv4 和 IPv6 提供 透明 的 安全 服务 ,保护 网 络 通信 和 免 遭 窃听 和 和 货 改 ， 
在 IP 层 上 提供 数据 起 源 的 认证 ,无 连接 数据 完整 性 认证 .数据 内 容 的 机 密 性 认证 、 抗 重 放 保 
护 和 有 限 业 务 流 机 密 性 保证 等 安全 服务 。 各 种 应 用 程序 可 以 享用 IP 层 提 供 的 安全 服务 和 
密 钥 管 理 , 而 不 必 设 计 和 实现 自己 的 安全 机 制 , 因 此 减少 了 密 钥 协商 的 开销 ,也 降低 了 产生 
安全 漏洞 的 可 能 性 。 

IPSec 可 以 保障 主机 之 间 、 网 络 安全 网 关 ( 如 路 由 器 或 防火 墙 ) 之 间或 主机 与 安全 网 关 
之 间 的 数据 包 的 安全 。 它 主要 提供 认证 (Authentication) 和 保密 (Confidentiality ) 两 种 
功能 。 

使 用 IPSec 可 以 防范 以 下 几 种 网 络 攻击 。 

(1) Sniffer: IPSec 对 数据 进行 加 密 以 对 抗 Sniffer, 保 持 数 据 的 机 密 性 。 

(2) 数据 算 改 : IPSec 用 密 钥 为 每 个 IP 包 生 成 一 个 消息 认证 码 (MAC) ,该 密 钥 仅 由 数 
据 的 发 送 方 和 接收 方 共享 。 对 数据 包 的 任何 算 改 ,接收 方 都 能 够 检测 到 。 保 证 了 数据 的 完 
整 性 。 

(3) 身份 欺骗 : IPSec 的 身份 认证 机 制 实现 了 数据 起 源 认证 。 

(4) 重 放 攻 击 : IPSec 防止 了 数据 包 被 捕获 并 重新 投放 到 网 上 ,接收 方 会 检测 并 拒绝 老 
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的 或 重复 的 数据 包 ; IPSec 通过 序列 号 实现 了 抗 重 放 攻 击 。 
(5) 拒绝 服务 攻击 : IPSec 依据 IP 地 址 范围 ,协议 ,甚至 特定 的 协议 端口 号 来 决定 哪些 
数据 流 需要 受到 保护 ,哪些 数据 流 可 以 被 允许 通过 ,哪些 需要 拦截 。 


IPSec 对 于 IPv4 是 可 选 使 用 的 , 对 于 
IPv6 是 强制 使 用 的 。IPSec 规范 中 包含 大 量 


IP 安 全 体系 结构 


的 RFC 文档 ,主要 包括 : IP 安全 体系 结构 | 1 
SA (Security Architecture for the Internet 封装 安全 载荷 (ESP) 认证 头 (AH) 
Protocol, RFC2401) IP 认证 头 AHCAuthen- | 
tication Header,RFC2402) ,IP 封装 安全 载荷 加 密 算法 验证 算法 
ESP (IP Encapsulating Security Payload, 
i 释 域 (DOI 
RFC2406) 、 Internet 密 钥 交换 (The Internet 租 炎 ' ) 
Key Exchange,RFC2409)、 认证 和 加 密 算法 。 窗 钥 管理 策略 


IPSec 安全 体系 结构 如 图 10-1 所 示 。 ili T 
IP 安全 体系 结构 ,系统 描述 了 IPSec 的 


工作 原理 、 系 统 组 成 以 及 各 个 组 件 是 如 何 协 图 10-1 IPSec 安 全 体系 结构 
同 工 作 提供 上 述 安全 服务 的 ,是 关于 TCP/IP 协议 簇 总 的 概述 。 它 包含 了 IP 安全 技术 的 一 


\ 安 全 目标 .安全 服务 .定义 和 定义 IPSec 的 技术 机 制 。 


封装 安全 载荷 (ESP): 覆盖 了 为 包 加 密 ( 可 选 身 份 验证 ) 与 ESP 的 使 用 相关 的 包 格 
式 和 和 常规 问题 。 

验证 头 (AH) : 包含 使 用 AH 进行 包 身 份 验证 相关 的 包 格式 和 一 般 问 题 。 

加 密 算法 : 描述 各 种 加 密 算 法 如 何 用 于 ESP。 

认证 算法 : 描述 各 种 身份 认证 算法 如 何 用 于 AH 和 ESP。 

密 钥 管理 : 密 钥 管 理 的 一 组 方案 ,其 中 IKE 是 默认 的 密 钥 自 动 交换 协议 ,IKE 适合 
为 任何 一 种 协议 协商 密 钥 ,并 不 仅 限于 IPSec 的 密 钥 协商 ,协商 的 结果 通过 解释 域 
转化 为 IPSec 所 需 的 参数 。 

解释 域 (Domain Of Interpretation ,DOI) : 为 了 IPSec 通信 两 端 能 相互 交互 ,通信 双 
方 应 该 理解 AH 协议 和 ESP 协议 载荷 中 各 字段 的 取 值 .因此 通信 双方 必须 保持 对 
通信 消息 相同 的 解释 规则 , 即 应 持 有 相同 的 解释 域 。IPSec 至 少 已 经 给 出 了 两 个 解 
释 域 ,IPSec DOI 和 ISAKMP DOI. 它 们 各 有 不 同 的 使 用 范围 。 解 释 域 定义 了 协议 
用 来 确定 安全 服务 的 信息 通信 双方 必须 支持 的 安全 策略 ,规定 所 采用 的 句法 ,命名 
相关 安全 服务 信息 时 的 方案 .包括 机 密 算法 、 密 钥 交 换算 法 、 安 全 策略 特性 和 认证 中 
心 等 。 

策略 : 决定 两 个 实体 之 间 能 否 通信 ,以 及 如 何 进行 通信 。 策 略 部 分 是 唯一 尚未 成 为 
标准 的 组 件 。 


每 一 种 安全 保护 方式 都 有 其 特殊 的 安全 特性 .IPSec 也 不 例外 ,下面 介绍 的 是 IPSec 安 
全 协议 的 五 个 特性 。 

(1) 不 可 否认 性 : 该 特性 可 以 证 实数 据 发 送 方 是 唯一 可 能 的 发 送 者 ,发 送 者 不 能 否认 
发 送 过 数据 。 在 数据 过 程 中 ,使 用 IPSec 技术 时 ,在 验证 时 使 用 的 是 公 钥 技术 ,发 送 方 用 私 
钥 产 生 一 个 数字 签名 随 数据 一 起 发 送 ,接收 者 用 发 送 者 的 公 钥 来 验证 数字 签名 是 否 被 修改 。 
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(2) 反 重播 性 : 为 确保 每 个 IP 包 的 唯一 性 ,保证 数据 万 一 被 截取 复制 后 ,不 能 再 被 重新 
利用 、 重 新 传输 回 目的 地 址 所 使 用 的 技术 。 

(3) 数据 完整 性 : 防止 传输 过 程 中 数据 被 算 改 ,确保 发 出 数据 和 接收 数据 的 一 致 性 。 
IPSec 利用 Hash 函数 为 每 个 数据 包产 生 一 个 加 密 校 验 和 ,接收 方 在 打开 包 前 先 计 算 校 验 
和 ,车 包 被 算 改 导致 检查 的 两 个 校 验 和 不 相符 ,数据 包 即 被 丢弃 。 

(4) 数据 可 靠 性 : 在 数据 传输 前 ,要 对 传输 的 数据 进行 加 密 处 理 ,可 以 保证 在 传输 过 程 
中 ,即使 数据 包 被 截取 ,数据 也 无 法 被 读 出 。 

(5) 认证 : 数据 源 发 送 身 份 数据 信息 给 接收 方 ,由 接收 方 检查 数据 是 否 被 修改 并 验证 
发 送 者 身份 的 合法 性 ,只 有 通过 认证 的 系统 才 可 以 建立 通信 和 连接。 


10.1.2 传输 模式 与 隧道 模式 


IPSec 协议 (包括 AH 和 ESP) 既 可 用 来 保护 一 个 完整 的 IP 载荷 , 亦 可 用 来 保护 某 个 IP 
载荷 的 上 层 协 议 。 这 两 方面 的 保护 分 别 是 由 IPSec 两 种 不 同 的 模式 来 提供 的 。 其 中 ,传输 
模式 (传送 模式 ) 用 来 保护 上 层 协 议 ; 而 隧道 模式 (通道 模式 ) 用 来 保护 整个 IP 数据 报 。 两 
种 IPSec 协议 (AH 和 ESP) 均 能 同时 以 传送 模式 或 隧道 模式 工作 。 

传输 模式 (如 图 10-2 所 示 ) 主 要 用 于 对 IP 包 中 的 上 层 协议 的 保护 。 在 IPv4 中 ,传输 模 
式 的 IPSec 头 插入 到 IP 报头 之 后 、 高 层 传输 协议 (如 TCP、UDP) 之 前 。 在 IPv6 中 ,该 模式 
的 IPSec 头 出 现在 IP 头 及 IP 扩展 头 之 后 .高 层 传输 协议 之 前 。 传 输 模 式 典 型 地 用 于 两 个 
主机 的 端 到 端 通信 。 以 传输 模式 运行 的 ESP 协议 对 负载 进行 加 密 和 认证 (认证 性 可 供 选 
择 ) ,但 不 对 IP 报头 进行 加 密 和 认证 。 以 传输 模式 运行 的 AH 协议 对 负载 及 报头 中 选择 的 
一 部 分 进行 认证 。 
原始 数据 包 

原 IP 头 TcP 头 | 数据 | 
传输 模式 受 保护 的 包 


原 IP 头 IPSec 头 TCP 头 数据 
隧道 模式 受 保护 的 包 
新 IP 头 IPSec 头 原 IP 头 TCP 头 数据 


10-2 ”传送 模式 与 隧道 模式 保护 的 数据 包 


隧道 模式 (如 图 10-2 所 示 ) 用 于 对 整个 IP 数据 报 的 保护 , 它 是 将 一 个 数据 报 用 一 个 新 
的 数据 报 包 装 , 即 给 原 数据 报 加 一 个 新 的 报头 , 称 为 外 部 报头 .这样 原 数 据 报 就 成 为 新 数据 
报 的 负载 。 因 此 原 数据 报 在 整个 传送 过 程 中 就 像 在 隧道 中 一 样 ,传送 路 径 上 的 路 由 器 都 无 
法 看 到 原 数据 报 的 报头 。 由 于 封装 了 原 数据 报 , 新 数据 报 的 源 地 址 和 目标 地 址 都 与 原 数据 
报 不 同 , 从 而 增加 了 安全 性 。 隧 道 模式 下 ,要 保护 的 整个 IP 包 都 封装 到 另 一 个 IP 数据 报 
里 ,同时 在 外 部 与 内 部 IP 头 之 间 插 入 一 个 IPSec 头 。 外 部 IP 头 指明 进行 IPSec 处 理 的 目 
的 地 址 ,内 部 IP 头 指 明 最 终 的 目的 地 址 。 若 构成 一 个 安全 关联 的 两 个 终端 中 至 少 有 一 个 是 
安全 网 关 ( 而 不 再 是 主机 ), 则 这 个 安全 关联 就 必须 采用 隧道 模式 。 在 隧道 模式 下 ,IPSec 报 
文 要 进行 分 段 和 重组 操作 ,并且 可 能 要 再 经 过 多 个 安全 网 关 才 能 到 达 安 全 网 关 后 面 的 目的 
主机 。 
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例如 ,主机 A 产生 一 个 数据 报 ,其 目标 地 址 是 另 一 网 络 中 主机 B 的 地 址 ,A 将 自己 的 数 
据 报 发 送 给 A 所 在 网 络 的 防火 墙 C。 防 火 墙 C 过 滤 自 己 将 发 送 的 所 有 数据 报 以 决定 哪些 
需要 进行 IPSec 处 理 ,如 果 A 发 往 B 的 数据 报 需要 IPSec 处 理 ,防火 墙 C 则 对 其 进行 处 理 
并 用 一 个 新 报头 对 其 封装 ,新 报头 中 源 地 址 为 防火 墙 B 的 IP 地 址 ,目标 地 址 是 B 所 在 局 域 
网 中 防火 墙 D 的 IP 地 址 。 数 据 报 在 到 达 防 火 墙 D 之 前 ,所 有 中 间 路 由 器 仅 检查 外 部 报头 ， 
到 达 防 火 墙 D 后 , 则 剥 去 外 部 报头 并 将 原 数 据 报 发 给 B。 

以 隧道 模式 运行 的 ESP 协议 对 整个 内 部 数据 报 ( 包 括 报 头 ) 加 密 和 认证 (认证 性 可 供 选 
择 ) ,而 AH 协议 则 对 整个 内 部 数据 报 和 外 部 报头 中 的 所 选 部 分 进行 认证 。 


10.1.3 安全 关联 


1. 安全 关联 的 定义 

安全 关联 (Security Association,SA) 又 称 为 “安全 联盟 ”, 是 两 个 应 用 IPSec 实体 (主机 、 
路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ,决定 保护 什么 、 如 何 保护 以 及 谁 来 保护 通信 数据 。 

一 个 SA 可 由 三 个 参数 唯一 地 表示 为 : 

二 安全 参数 索引 ,目标 IP 地 址 ,安全 协议 标识 符 二 

三 个 参数 的 含义 分 别 为 : 

(1) 安全 参数 索引 (Security Parameters Index,SPI) : 赋值 给 该 SA 的 32 位 比特 串 , 其 
位 置 在 AH 和 ESP 报头 中 ,用 于 标识 有 相同 的 目标 地 址 和 相同 安全 协议 的 不 同 SA。 

(2) 目标 IP 地 址 : 即 SA 中 接收 方 的 IP 地 址 ,该 地 址 可 以 是 终端 用 户 系统 或 防火 墙 、 
路 由 器 等 网 际 设备 的 地 址 。 目 前 的 SA 管理 机 制 只 支持 单 目地 址 。 

(3) 安全 协议 标识 符 : 表示 SA 使 用 的 协议 是 AH 协议 还 是 ESP 协议 。 

一 个 SA 可 以 处 于 两 种 模式 之 一 : 传输 模式 或 隧道 模式 ,这 取决 于 SA 中 使 用 的 协议 的 

SA 是 单 向 的 ,所 以 两 个 系统 之 间 的 双向 通信 需要 两 个 SA ,每 个 方向 一 个 。 

一 个 SA 对 IP 数据 报 不 能 同时 提供 AH 和 ESP 保护 。 有 时 ,特定 的 安全 策略 要 求 对 
通信 提供 多 种 安全 保护 ,这 就 需要 使 用 多 个 SA。 当 把 一 系列 SA 应 用 于 业务 流 时 , 称 为 SA 
束 。SA 束 的 顺序 由 安全 策略 决定 ,SA 束 中 各 个 SA 的 终点 可 能 不 同 。 例 如 ,一 个 SA 可 能 
用 于 移动 主机 与 安全 网 关 之 间 ,而 另 一 个 可 能 用 于 移动 主机 与 安全 网 关内 的 主机 。 

2. 安全 关联 的 创建 

SA 既 可 人 工 创 建 , 亦 可 采用 动态 创建 方式 。 

若 用 人 工 方式 创建 ,安全 参数 由 管理 员 按 安全 策略 人 工 指定 、 人 工 维 护 。 但 是 ,人 工 维 
护 容易 出 错 ,而 且 人 工 建立 的 SA 没有 存活 时 间 的 说 法 ,除非 再 用 人 工 方式 将 其 删除 ,否则 
便 会 一 直 存 在 下 去 。 

若 用 动态 方式 创建 , 则 SA 有 一 个 存活 时 间 与 其 关联 在 一 起 。 这 个 存活 时 间 通 常 是 由 
密 钥 管理 协议 在 IPSec 通信 双方 之 间 加 以 协商 而 确立 下 来 的 ,存活 时 间 (TTL) 非 常 重要 。 
若 超 时 使 用 一 个 密 钥 ,会 为 攻击 者 侵入 系统 提供 更 多 的 机 会 。SA 的 自动 建立 和 动态 维护 
是 通过 IKE 进行 的 。 如 果 安 全 策略 要 求 建立 安全 保密 的 连接 ,但 却 不 存在 相应 的 SA， 
IPSec 的 内 核 则 启动 或 触发 IKE 协商 。 
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3. 与 安全 关联 有 关 的 数据 库 

IPSec 的 实现 需要 维护 两 个 与 SA 有 关 的 数据 库 : 安全 关联 数据 库 (Security 
Association Database,SAD) 和 安全 策略 数据 库 (Security Policy Database,SPD) 。 

SAD 包含 每 一 个 SA 的 参数 信息 ,例如 AH 或 ESP 算法 和 密 钥 .序列 号 .协议 模式 以 及 
SA 生命 期 。 对 于 外 界 (Outbound) 数 据 的 处 理 . 会 有 一 个 SPD 数据 项 中 包含 指向 某 个 SAD 
数据 项 的 指针 。SPD 决定 了 一 个 给 定 的 数据 包 究 竟 使 用 哪个 SA。 对 于 界 内 (Inbound, 带 
有 IPSec 头 ) 数 据 的 处 理 , 由 SAD 来 决定 如 果 处 理 。 

SAD 中 包含 以 下 字段 。 

序号 计数 器 : 32 比特 ,用 于 产生 AH 或 ESP 头 的 序号 , 仅 用 于 流出 数据 包 。 

序号 计数 器 溢出 标志 : 标识 序号 计数 器 是 否 溢出 。 如 溢出 , 则 产生 一 个 审计 事件 ,并 禁 
止 用 SA 继续 发 送 数 据 包 。 

抗 重播 窗口 : 32 比特 计数 器 ,用 于 决定 流入 的 AH 或 ESP 数据 包 是 否 为 重 发 。 仅 用 于 
流入 数据 包 , 如 接收 方 不 选择 抗 重播 服务 (如 手工 设置 SA 时 ), 则 抗 重播 窗口 未 被 使 用 。 

AH 信息 : 表示 AH 所 使 用 的 认证 算法 、 密 钥 、 密 钥 生 命 期 等 。 

ESP 信息 : 表示 ESP 所 使 用 的 加 密 认证 算法 、 密 钥 、 初 始 值 、 密 钥 生 命 期 等 。 

SA 的 生命 期 : 一 个 时 间 间 隔 。 超 过 这 一 间隔 后 ,应 建立 一 个 新 的 SA( 以 及 新 的 SPI) 
或 终止 通信 。 生 存 期 以 时 间或 字 节 数 为 标准 ,或 将 两 者 结合 使 用 ,并 优先 采用 先 到 者 。 

IPSec 协议 模式 ; 隧道 传输 或 混合 方式 (通配符 ) ,说 明 应 用 AH 或 ESP 的 模式 。 

路 径 最 大 传输 单元 MTU: 指 不 被 分 段 而 能 传输 的 最 大 数据 报 长 度 。 

其 中 AH 信息 和 ESP 信息 分 别 仅 为 AH 协议 和 ESP 协议 所 要 求 , 其 他 参数 在 两 种 协 
议 中 都 被 要 求 。 


10. 1.4 IPSec 安全 策略 


IPSece 的 基本 架构 定义 了 用 户 能 以 多 大 的 精度 来 设 定 自 己 的 安全 策略 。 某 些 通信 可 以 
为 其 设置 某 一 级 的 基本 安全 措施 ; 而 对 其 他 通信 和 则 可 为 其 应 用 完全 不 同 的 安全 级 别 。 如 可 
在 一 个 网 络 安全 网 关上 制定 IPSec 策略 ,对 在 其 本 地 保护 的 子 网 与 远程 网 关 的 子 网 间 通 信 
的 所 有 数据 ,全 部 采用 DES 加 密 , 并 用 HMAC-MD5 进行 验证 ; 另外 ,从 远程 子 网 发 给 一 个 
邮件 服务 器 的 所 有 Telnet 数据 均 用 3DES 进行 加 密 . 同 时 用 HMAC-SHA 进行 验证 ; 最 后 
对 于 需要 加 密 的 .发 给 另 一 个 服务 器 的 所 有 Web 通信 数据 , 则 用 IDEA 满足 其 加 密 要 求 , 同 
时 用 HMAC-RIPEMD 进行 验证 。 

IPSec 本 身 没 有 为 策略 定义 标准 ,目前 只 规定 了 两 个 策略 组 件 : SAD( 安 全 关联 数据 库 ) 
和 SPD( 安 全 策略 数据 库 ) 。 在 IPSec 系统 中 ,IPSec 策略 由 SPD 加 以 维护 。 在 SPD 这 个 数 
据 库 中 ,每 个 条 目 都 定义 了 要 保护 的 是 什么 通信 、 怎 样 保 护 它 以 及 和 谁 共享 这 种 保护 。 策 略 
描述 主要 包括 两 方面 的 内 容 : 一 是 对 保护 方法 的 描述 ,二 是 对 通信 特性 的 描述 。 

对 保护 方法 的 描述 : 对 于 进入 或 离开 IP 堆栈 的 每 个 包 , 都 必须 检索 SPD 数据 库 , 调 查 
[能 的 安全 应 用 。 对 一 个 SPD 条 目 来 说 , 它 可 能 定义 了 下 述 几 种 行为 : 丢弃 、 绕 过 以 及 应 
。 其 中 ,“ 丢 弃 ” 表 示 不 让 这 个 包 进 入 或 外 出 ;“ 绕 过 ”表示 不 对 一 个 流出 的 包 应 用 安全 服 
务 ,也 不 指望 一 个 流入 的 包 进 行 了 安全 处 理 ; 而 “应 用 ”是 指 对 流出 的 包 应 用 安全 服务 ,同时 
要 求 流入 的 包 已 应 用 了 安全 服务 。 对 那些 定义 了 “应 用 ”行为 的 SPD 条目, 它们 均 会 指向 一 
个 或 一 套 SA ,表示 要 将 其 应 用 于 数据 包 。 


=| 
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使 用 选择 符 描述 通信 特性 。IPSec 通信 到 IPSec 策略 的 映射 关系 是 由 “选择 符 
(Selector) ”来 建立 的 。 选 择 符 标 识 通 信和 的 一 部 分 组 件 . 它 既 可 以 是 一 个 粗略 的 定义 ,也 可 以 
是 一 个 非常 细致 的 定义 。IPSec 选择 符 包括 6 方面 内 容 : 目标 IP 地址, 源 IP 地址 .名 字 、 上 层 
协议 、 源 和 目标 端口 以 及 一 个 数据 敏感 级 (假如 也 为 数据 流 的 安全 提供 了 一 个 IPSec 系统 ) 。 

。 目 的 IP 地 址 : 可 为 单个 IP 地 址 .地址 列表 、 地 址 范围 或 通 配 ( 掩 码 ) 地 址 。 后 两 种 用 

于 支持 共享 一 个 SA 的 多 个 目的 系统 。 

。 源 IP 地址: 可 为 单个 IP 地 址 .地 址 列表 、 地 址 范围 或 通 配 ( 掩 码 ) 地 址 。 后 两 种 用 于 

支持 共享 一 个 SA 的 多 个 源 发 系统 。 

。 名 字 : 名 字 字 段 用 于 标识 与 一 名 有 效用 户 或 者 系统 名 称 关联 在 一 起 的 策略 。 其 中 

包括 一 个 DNS 名 、X. 500 区 分 名 或 者 在 IPSec DOI 中 定义 的 其 他 名 字 类 型 。 只 有 
在 IKE 协商 期 间 ( 而 非 包 处 理 期 间 ) ,名 字 字 段 才 能 作为 一 个 选择 符 使 用 。 在 包 处 
理 期 间 , 这 一 字段 不 能 作为 选择 符 使 用 。 因 为 目前 无 法 把 一 个 IP 地 址 和 一 个 名 字 
结合 在 一 起 。 

。 传输 层 协议 : 协议 字段 指定 了 传输 协议 (意思 是 只 有 传输 协议 可 以 访问 )。 许 多 情 

况 下 ,只 要 使 用 了 ESP, 传 送 协议 无 法 访问 ,这 时 需 使 用 通配符 。 
。 源 和 目标 端口 : TCP 或 UDP 端口 号 ,可 为 单个 端口 .端口 列表 或 通 配 端口 。 如 果 端 
口 不 能 访问 , 则 要 使 用 通配符 。 

。 数据 敏感 等 级 : 通信 数据 的 保密 等 级 ,可 分 为 普通 、 秘 密 、 机 密 、 绝 密 。 

IPSec 结构 定义 了 SPD 和 SAD 这 两 种 数据 库 之 间 如 何 沟通 。 这 是 通过 IPSec 处 理 功 
能 一 一 封装 与 拆 穿 来 实现 的 。 

对 于 流出 数据 包 ,IPSec 协议 要 先 查询 SPD, 确 定数 据 包 应 使 用 的 安全 策略 。 如 果 检 索 
到 的 数据 策略 是 应 用 IPSec, 再 查询 SAD( 每 个 SPD 的 元 组 都 有 指针 指向 相关 的 SAD 的 元 
组 ) ,确定 是 否 存在 有 效 的 SA。 

(1) 若 存 在 有 效 的 SA, 则 取出 相应 的 参数 ,将 数据 包 封 装 (包括 加 密 、 验 证 ,添加 IPSec 
头 和 IJIP 头等 ) ,然后 发 送 。 

(2) 若 尚未 建立 SA, 则 启动 或 触发 IKE 协商 ,动态 地 创建 SA, 协 商 成 功 后 按 (1) 中 步 
又 处 理 , 不 成 功 则 应 将 数据 包 委 弃 , 并 记录 出 错 信息 。 

(3) 存在 SA 但 无 效 ,将 此 信息 向 IKE 通告 请求 协商 新 的 SA ,协商 成 功 后 按 (1) 中 的 
步骤 处 理 ,不 成 功 则 应 将 数据 包 丢 弃 , 并 记录 出 错 信息 。 

对 于 流入 数据 包 ,IPSec 通过 包头 信息 包含 的 IP 目的 地 址 、IP 安全 协议 类 型 (AH 或 
ESP) 和 SPI 在 SAD 中 查找 对 应 的 SA。 如 得 到 有 效 的 SA. 则 对 数据 包 进 行 解 封 ( 还 原 ) ,再 
查询 SPD, 验 证 为 该 数据 包 提供 的 安全 保护 是 否 与 策略 配置 的 相符 。 如 相符 , 则 将 还 原 后 
的 数据 包 交 给 TCP 层 或 转发 。 如 不 相符 、 或 要 求 应 用 IPSec 但 未 建立 SA .或 SA 无 效 , 则 
将 数据 包 丢 奔 ,并 记录 出 错 信息 。 


10.2 封装 安全 载荷 


封装 安全 载荷 (ESP) 属 于 IPSec 的 一 种 协议 ,ESP 提供 机 密 性 、 数 据 起 源 认证 、 无 连接 
的 完整 性 、 抗 重播 服务 和 有 限 业务 流 机 密 性 。ESP 本 身 是 一 个 IP 协议 ,协议 号 是 50。 
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10.2.1 封装 安全 载荷 包 格 式 


不 管 ESP 处 于 什么 模式 ,ESP 头 都 会 紧 紧 地 跟 在 一 个 IP 头 之 后 ,在 IPv4 中 ,ESP 头 紧 
跟 在 IP 头 后 面 ( 其 中 包括 任意 选项 ) 。 在 IPv6 中 ,ESP 头 的 放置 与 扩展 头 是 否 存 在 有 关 。 
ESP 头 肯 定 揪 在 扩展 头 ( 它 可 改变 源 到 目的 主机 之 间 的 路 由 ) 之 后 。 其 中 包括 逐 跳跃 .路 由 
选择 和 分 段 头 。 

ESP 头 包 含 下 面 一 些 字 段 ( 如 图 10-3 所 示 ) 。 


序列 号 

证 

加 柳 

受 保护 的 数据 窗 | 着 

量 的 

填充 项 (0 一 255 字 节 ) 名 | 肖 
范 


填充 项 长 度 | 下 一 个 头 | ,时 
认证 数据 


10-3 ESP 头 


安全 参数 索引 SPI(32 位 ): SPI 是 个 伪 随 机 数 ,和 外 部 IP 头 的 目标 地 址 以 及 安全 协 
议 结合 在 一 起 ,用 来 标识 用 于 处 理 数据 包 的 特定 的 那个 安全 关联 。 

序列 号 (32 位 ) : 序列 号 是 一 个 独一无二 的 、 单 向 递增 的 、 并 由 发 送 端 插 在 ESP 头 的 
一 个 号 码 。 发 送 方 的 计数 器 和 接收 方 的 计数 器 在 一 个 SA 建立 时 被 初始 化 为 0, 使 
用 给 定 SA 发 送 的 第 一 个 分 组 的 序列 号 为 1, 如 果 激 活 抗 重播 服务 (默认 地 ) ,传送 的 
序列 号 不 允许 循环 。 因 此 ,在 SA 上 传送 第 2” 个 分 组 之 前 ,发 送 方 计数 器 和 接收 方 
计数 器 必须 重新 置 位 (通过 建立 新 SA 和 获取 新 密 钥 ) ,序列 号 使 ESP 具有 了 抵抗 重 
播 攻击 的 能 力 。 

受 保护 数据 (可 变 ): 通过 加 密 保护 的 传输 层 协议 内 容 ( 传 输 方式 ) 或 IP 包 ( 通 道 模 
式 )。 因 为 IP 包 可 能 会 失 序 到 达 , 因 此 每 个 IP 包 必 须 携带 能 使 接收 者 进行 解密 所 
要 求 的 密码 同步 数据 (如 初始 化 向 量 IV)。 初 始 化 向 量 IV 可 以 在 受 保护 数据 字段 
的 开头 携带 ,并 且 IV 通常 不 加 密 ,但 经 常 被 看 做 是 密 文 的 一 部 分 。 

填充 (0 一 255 字 节 ) : 主要 用 于 加 密 算 法 要 求 明文 使 某 个 数目 字 节 的 倍数 、 保 证 填充 
长 度 字段 和 下 一 个 头 字段 排列 在 32 位 字 的 右边 、 提 供 部 分 业务 流 机 密 性 。 用 于 在 
ESP 中 保证 边界 的 正确 。 

填充 长 度 (8 位 ): 指出 填充 字 节 的 数目 。 填 充 长 度 字段 是 硬性 规定 的 ,因此 ,即使 没 
有 填充 ,填充 长 度 字 段 仍 会 将 它 表示 出 来 。 

下 一 个 头 (8 位 ): 标识 受 保护 数据 的 第 一 个 头 。 例 如 ,IPv6 中 的 扩展 头 或 者 上 层 协 
议 标 识 符 。 此 字段 表明 数据 类 型 。 

认证 数据 (可 变 ): 完整 性 检查 值 。 认 证 数据 是 可 变 长 字段 , 它 包 含 一 个 完整 性 校 验 
值 CICV) ,ESP 分 组 中 该 值 的 计算 不 包含 认证 数据 本 身 。 字 段 长 度 由 选择 的 认证 算 
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法 指定 。 认 证 数据 字段 是 可 选 的 .只 有 SA 选择 认证 服务 , 才 包 含 认证 数据 字段。 
认证 算法 规范 必须 指定 ICV 长 度 、 验 证 规则 和 处 理 步 又 。 

ESP 所 采用 的 加 密 算法 由 SA 指定 。 为 提高 加 密 效率 , ESP 使 用 对 称 密码 算法 (如 
DES 算法 .3DES 算法 ) 。 由 于 机 密 性 是 可 选择 的 ,因此 加 密 算 法 可 以 是 “ 空 ”。RFC1829 中 
指定 的 ESP 加 密 算法 是 DES-CBC。 

用 于 计算 完整 性 校 验 值 (ICV) 的 认证 算法 由 SA 指定 。 对 于 点 到 点 的 通信 ,合适 的 鉴 
别 算法 包括 基于 对 称 密码 算法 (如 DES) 或 基于 单 向 Hash 函数 (如 MD5 或 SHA-1) 的 带 密 
钥 的 消息 认证 码 (MAC)。RFC1828 建议 的 认证 算法 是 带 密 钥 的 MD5。 由 于 认证 算法 是 可 
选 的 ,因此 此 算法 可 以 是 “ 空 "。 加 密 算 法 和 认证 算法 虽然 都 可 以 为 空 ,但 两 者 不 能 同时 
为 空 。 

10.2.2 封装 安全 载荷 协议 处 理 

在 ESP 的 传输 模式 中 ,ESP 协议 将 上 层 协 议 数据 作为 ESP 封装 的 载荷 数据 ,而 原 IP 
包头 仍 作为 封装 后 的 IP 包 的 包头 。 这 种 封装 模式 保留 了 原 IP 包头 信息 ,只 是 IP 包头 的 协 
议 字 段 值 变 为 50 ,表示 IP 包头 后 紧 接 的 载荷 为 ESP 载荷 。 而 IP 包头 的 协议 字段 的 原 有 值 
被 记录 于 ESP 载荷 的 下 一 个 字段 。ESP 头 插 在 IP 包头 之 后 和 一 个 上 层 协 议 ( 如 TCP、 
UDP ICMP 等 ) 之 前 。 其 封装 格式 如 图 10-4 所 示 。 

应 用 ESP 前 的 IPv4 
原 IP 头 | TCPUDP 头 | 受 保 护 数据 | 


应 用 ESP 后 的 IPv4 


原 IP 头 | ESP 头 | TcP/UDP 头 | 受 保护 数据 | ESP 尾 | ESP 认 证 数据 
- 加 密 保护 法 


验证 保护 法 
10-4 ”传输 模式 下 受 ESP 保护 的 一 个 IP 包 


在 隧道 模式 ,整个 IP 包 (包括 原 IP 包头 ) 都 被 封装 在 ESP 有 效 载荷 中 ,并 产生 一 个 新 
IP 包头 附着 在 ESP 头 之 前 。 这 个 新 的 IP 包头 的 协议 字段 将 是 50, 以 表明 IP 包头 之 后 是 
一 个 ESP 头 。ESP 的 隧道 模式 对 整个 IP 包 提 供 安 全 保护 (机 密 性 和 完整 性 ) , 既 可 用 于 主 
机 也 可 用 于 安全 网 关 。 当 ESP 在 安全 网 关上 实现 时 ,必须 采用 隧道 模式 。 其 封装 格式 如 
图 10-5 所 示 。 


应 用 ESP 前 的 IPv4 
原 IP 头 | TCPUDP 头 | 受 保护 数据 | 


应 用 ESP 后 的 IPv4 


新 IP 头 | ESP 头 | 原 IP 头 TCP/UDP 头 | 受 保护 数据 ESP 尾 | ESP 认 证 数据 
-一 一 一 加密 保 护法 
验证 保护 法 
图 10-5 隧道 模式 下 受 ESP 保护 的 一 个 IP 包 
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由 于 ESP 同时 提供 了 机 密 性 以 及 认证 机 制 , 所 以 在 其 SA 中 必须 同时 定义 两 套 算 法 。 
用 来 确保 机 密 性 的 算法 叫做 cipher( 加 密 器 ) ,负责 认证 的 叫做 authenticator( 认 证 器 )。 

1. 流出 分 组 的 处 理 

对 在 IPv4 上 运行 的 传输 模式 应 用 来 说 ,ESP 头 紧 跟 在 IP 头 ( 包 括 IP 头 可 能 有 的 任何 
选项 ) 之 后 ,IP 头 的 协议 字段 被 复制 到 ESP 头 的 “下 一 个 头 ” 字 段 中 ,ESP 头 的 其 余 字段 则 
被 填 满 。SPI 字段 分 配 到 的 是 来 自 SAD 的 、 用 来 对 这 个 包 进 行 处 理 的 特定 SA 的 SPI; 填 
充 序列 号 字段 的 是 序列 中 的 下 一 个 值 ; 填充 数据 会 被 插入 ,其 值 被 分 配 ; 同时 分 配 的 还 有 
填充 长 度 值 。 随 后 ,IP 头 的 协议 字段 得 到 的 是 ESP 的 值 50。 除 了 头 插入 位 置 不 同 之 外 ， 
IPv6 处 理 规则 基本 上 类 似 于 IPv4。ESP 头 可 揪 在 任意 一 个 扩展 头 之 后 。 

对 隧道 模式 应 用 来 说 ,ESP 头 是 加 在 IP 包 前 面 的 。 如 果 封 装 的 是 一 个 IPv4 包 , 那 么 
ESP 头 的 下 一 个 头 字段 分 配 到 值 4; 如 果 封 装 的 是 一 个 IPv6 包 , 则 分 配 到 值 41。 其 他 字段 
的 填充 方式 和 在 传输 模式 中 一 样 。 随 后 ,在 ESP 头 的 前 面 新 增 了 一 个 IP 头 ,并 对 相应 的 字 
段 进 行 填充 (赋值 ) 一 一 源 地 址 对 应 于 应 用 ESP 的 那个 设备 本 身 ; 目标 地 址 取 自 于 用 来 应 
用 ESP 的 SA; 协议 号 赋值 为 50; 其 他 字段 的 值 则 参照 本 地 的 IP 处 理 加 以 填充 。 

不 管 哪 种 模式 下 , 接 下 去 的 步 又 都 是 相同 的 。 从 恰当 的 SA 中 选择 加 密 器 (加 密 算法 )， 
对 包 进 行 加 密 ( 从 载荷 数据 的 开头 ,一 直到 “下 一 个 头 ” 字 段 )。 随 后 ,使 用 恰当 的 SA 中 的 认 
证 器 ,对 包 进 行 认 证 ( 自 ESP 头 开 始 , 中 间 经 过 加 密 的 密 文 ,一 直到 ESP 尾 )。 随 后 ,将 认证 
器 的 结果 插入 ESP 尾 的 “认证 数据 "字段 中 。 

对 外 出 数据 包 进 行 处 理 的 最 后 一 步 是 : 重新 计算 位 于 ESP 前 面 的 IP 头 的 校 验 和 。 

注意 在 添加 ESP 头 时 ,不 必 进 行 分 段 检 查 。 如 果 包 (在 已 采用 ESP 之 后 ) 大 于 它 流 经 
的 那个 接口 的 MTU ,只 好 对 它 进行 分 段 。 这 和 一 个 完整 的 ESP 包 离 开 该 设备 ,并 在 网 络 中 
的 某 个 地 方 被 分 成 段 没有 什么 区 别 。 

2. 进入 分 组 的 处 理 

接收 端 在 收 到 一 个 ESP 包 之 后 , 若 不 对 这 个 包 进 行 处 理 , 就 无 法 得 知 它 究竟 处 于 隧道 
模式 ,还 是 传输 模式 。 根 据 对 这 个 包 进 行 处 理 的 SA, 便 可 知道 它 到 底 处 在 什么 模式 下 。 但 
除非 完成 了 对 它 的 解密 ,实际 上 不 可 能 知道 ESP 保护 的 是 什么 。 

如 果 收 到 的 IPSec 包 是 一 个 分 段 ,必须 把 它 保 留 下 来 ,直到 这 个 包 的 其 他 部 分 收 完 为 
止 。 即 在 ESP 处 理 之 前 进行 重组 。 

收 到 一 个 (已 重组 的 ) 包 含 ESP 头 的 包 时 ,根据 目的 IP 地 址 、 安 全 协议 (ESP) 和 SPI, 接 
收 方 确定 适当 的 SA。SA 指出 序列 号 字段 是 否 被 校 验 ( 即 是 否 选择 抗 重 播 ) ,认证 数据 字段 
是 否 存 在 , 它 将 指定 解密 和 ICV 计算 (如 果 适 用 ) 使 用 的 算法 和 密 钥 。 如 果 本 次 会 话 没有 有 
效 的 SA 存在 (例如 接收 方 没 有 密 钥 ) ,接收 方 必须 丢弃 分 组 ,这 是 可 审核 事件 。 该 事件 的 核 
查 日 志 表 项 应 该 包含 SPI 的 值 接收 的 日 期 /时 间 、 源 地 址 、 目 的 地 址 、 序 列 号 和 (IPv6) 明 文 
信息 流 ID。 

一 旦 验证 通过 了 一 个 有 效 的 SA ,就 可 用 它 开始 包 的 处 理 。 

检查 序列 号 : 序号 字段 是 设计 用 来 阻挡 重 放 攻 击 的 。 当 新 的 SA 被 建立 的 时 候 , 发 送 
者 将 序号 计数 器 初始 化 为 0。 每 当 一 个 分 组 被 发 送 给 这 个 SA ,发 送 者 对 这 个 计数 器 增 1 并 
将 序号 字段 设置 成 计数 器 的 值 。 这 样 , 被 使 用 的 第 一 个 值 就 是 1。 如 果 使 用 了 反 重 放 ( 默 
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认 ) ,发 送 者 不 应 该 允许 序号 从 2 一 1 循环 到 0。 否则 ,就 有 可 能 出 现 多 个 合法 分 组 具有 同 
样 序号 的 情况 。 如 果 达 到 了 2” 一 1 的 极限 ,发 送 者 应 该 终止 这 个 SA 并 且 协 商 具 有 新 密 钥 
的 新 的 SA。 因为 IP 是 无 连接 \ 不 可 靠 的 服务 ,协议 不 能 保证 分 组 的 按 序 交 付 , 也 不 能 保证 
所 有 的 分 组 都 会 被 交付 。 因 此 ,IPSec 规定 接收 者 应 该 实现 大 小 为 W 的 窗口 ,默认 的 情况 
下 W 二 64。 窗 口 的 右边 界 代表 目前 已 经 收 到 的 合法 分 组 的 最 高 序号 N。 对 于 任何 已 经 正 
确 接收 的 ( 即 经 过 了 正确 鉴别 的 ) 其 序号 处 于 N 一 W 十 1 到 N 范围 之 间 的 分 组 ,窗口 的 相应 
插 权 被 标记 。 当 收 到 一 个 分 组 时 ,按照 如 下 步骤 进行 进入 处 理 : 

(1) 如 果 收 到 的 分 组 落 在 窗口 之 内 并 且 是 新 的 ,就 进行 MAC 检查 。 如 果 分 组 被 认证 ， 
就 对 窗口 的 相应 插 槽 做 标记 。 

(2) 如 果 收 到 的 分 组 落 在 窗口 的 右边 并 且 是 新 的 ,就 进行 MAC 检查 。 如 果 分 组 被 认 
证 ,那么 窗口 就 向 前 走 , 使 得 该 序号 成 为 窗口 的 右边 界 , 并 对 窗口 的 相应 插 槽 做 标记 。 

(3) 如 果 收 到 的 分 组 落 在 窗口 的 左边 ,或 者 鉴别 失败 ,就 丢弃 该 分 组 ,这 是 一 个 可 核查 
的 事件 。 

完整 性 校 验 值 确认 : 如 果 选 择 验证 ,接收 方 采 用 指定 的 认证 算法 对 ESP 包 计 算 ICV 
(不 包含 认证 数据 字段 ) ,确认 它 与 认证 数据 字段 中 包含 的 ICV 相同 。 如 果 计 算得 来 的 与 接 
i ICV 匹配 ,那么 数据 包 有 效 , 可 以 被 接收 。 如 果 验 证 失败 ,接收 方 将 接收 的 IP 数据 包 
丢弃 ,这 是 可 审核 事件 。 

分 组 解密 : 通过 取 自 SA 的 密 钥 和 密码 算法 .对 ESP 包 进 行 解密 ,从 这 个 ESP 包 载 荷 
数据 开始 之 处 到 下 一 个 头 字 段 之 间 。 


10.3 认 证 头 


认证 头 (Authentication Header.AH) 协 议 是 IPSec 体系 结构 中 的 一 种 主要 协议 ,用 于 
为 IP 数据 包 提 供 数 据 完整 性 、 数 据 包 源 地 址 认证 和 一 些 有 限 的 抗 重播 服务 , 它 定义 在 RFC 
2402 中 。AH 不 提供 对 通信 数据 的 加 密 服 务 , 与 ESP 协议 相 比 ,AH 不 提供 对 通信 数据 的 
加 密 服务 ,但 能 比 ESP 提供 更 加 广 的 数据 认证 服务 。 


10.3.1 认证 头 的 包 格 式 


AH 是 另 一 个 IP 协议 , 它 的 协议 号 是 51。 紧 跟 在 AH 头 部 前 面 的 协议 头 部 (IPv4、 
IPv6 或 扩展 ) 的 协议 字段 (IPv4) 或 下 一 头 部 字段 (IPv6 或 扩展 ) 中 包含 AH 的 协议 号 是 51。 
AH 头 格式 如 图 10-6 所 示 。 


0 7 15 个 31 
下 一 个 头 | 载荷 长 度 | 保留 
安全 参数 索引 (SPD 
序列 号 
认证 数据 


10-6 AH 头 
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。 下 一 个 头 (8 位 ) : 标识 跟 在 认证 头 后 的 下 一 个 头 类 型 。 在 传输 模式 下 ,将 是 处 于 保 
护 中 的 上 层 协议 的 协议 号 ,比如 UDP 协议 的 值 17 或 TCP 协议 的 值 6。 在 隧道 模式 
下 ,将 是 值 4( 表 示 IPv4) 或 41(IPv6) 。 

。 载荷 长 度 (8 位 ): 在 32 位 字 中 ,这 个 字段 包含 IPSec 协议 头 长 度 减 2 的 值 。 协 议 头 
的 固定 部 分 是 96 位 , 即 3 个 32 位 字 。 认 证 数据 部 分 是 可 变 长 的 ,但 有 一 个 标准 长 
度 为 96 位 ,同样 也 是 3 个 32 位 字 。 这 样 总 共 是 6 个 32 位 字 。 最 后 减 去 2 并 进入 载 
荷 长 度 字 有 段 的 值 将 是 4。 

。 保留 (16 位 ): 为 了 将 来 使 用 。 

。 SPI(32 位 ): SPI 值 0 被 保留 来 表明 “没有 安全 关联 存在 ”。 

序列 号 (32 位 ): 一 个 单 向 递增 的 计算 器 ,等 同 于 ESP 中 使 用 的 序列 号 。 序 列 号 提 

供 抗 重播 功能 。 当 建立 一 个 SA 时 ,序列 号 被 初始 化 为 0, 使 用 该 SA 传递 的 第 一 个 

数据 包 的 序列 号 就 是 1。 序 列 号 不 允许 重复 ,这 样 每 个 SA 上 所 能 传递 的 IP 报 文 的 

最 大 数目 就 是 2” 一 1, 当 序列 号 达到 最 大 值 时 ,就 需要 建立 一 个 新 的 SA。 

。 认证 数据 (可 变 ): 一 个 不 固定 的 长 度 字段 ,也 叫 完整 性 校 验 值 CICV) 或 者 MAC ,该 
字段 长 度 必 须 是 32 位 的 整数 倍 。IPSec 规定 必须 支持 HMAC-SHA-1-96 和 
HMAC-MD5-96。 

用 于 计算 完整 性 校 验 值 (ICV) 的 认证 算法 由 SA 指定 。AH 中 的 认证 算法 同 ESP 一 

样 ,只 是 验证 所 覆盖 的 范围 不 同 。 


10.3.2 认证 头 协议 处 理 


和 ESP 一 样 ,AH 可 用 于 传送 模式 和 隧道 模式 。 不 同 之 处 在 于 它 保护 的 数据 一 个 是 上 
层 协 议 ,一 个 是 完整 的 IP 数据 报 。 任 何 一 种 情况 下 ,AH 都 要 对 外 部 IP 头 的 固有 部 分 进行 
身份 认证 。 此 外 ,AH 可 被 独立 使 用 .或 与 IP 封装 安全 负载 (ESP) 相 结合 使 用 ,或 通过 使 用 
障 道 模式 的 垦 套 方式 。 

AH 用 于 传输 模式 (如 图 10-7 所 示 ) 时 ,保护 的 是 端 到 端的 通信 。 通 信 的 终点 必须 是 
IPSec 终点 。 这 时 AH 头 紧 跟 在 原 IP 包 的 包头 之 后 (和 任意 选项 ) 和 需要 保护 的 上 层 协 议 
数据 (如 TCP/UDP 数据 等 ) 之 前 。 这 种 模式 的 特点 是 保留 了 原 IP 包头 信息 。 即 信 源 / 信 宿 
地 址 不 变 , 所 有 安全 相关 信息 则 都 包含 在 AH 头 中 。 只 是 IP 包头 的 协议 字段 由 原来 的 值 变 
为 51 ,表示 IP 包头 后 的 紧 接 载荷 为 AH 载荷 ; 而 IP 包头 的 协议 字段 的 原 有 值 被 记录 于 
AH 头 的 下 一 个 头 字 段 中 。 

计算 认证 数据 时 ,输入 如 下 : IP 数据 包头 (只 包括 在 传输 期 间 不 变 的 字段 或 接受 方 可 预 
测 的 字段 ,其 余 不 定 的 字段 全 置 为 0)、AH( 除 “认证 数据 "字段 外 其 他 的 所 有 字段 ,“ 认 证 数 
据 ” 字 段 被 置 为 0) \IP 数据 包 中 的 所 有 的 上 层 协议 数据 。 

AH 的 隧道 模式 (如 图 10-8 所 示 ) 将 AH 头 插入 原 卫 分 组 的 人 包头 之 前 ,并 在 AH 头 之 
前 添加 新 的 一 包头 。 这 个 新 的 一 包头 的 协议 字段 将 是 51, 表 明 IP 包头 之 后 是 一 个 AH 头 。 

AH 的 隧道 模式 对 整个 IP 包 提 供 鉴 别 保护 。 既 可 用 于 主机 也 可 用 于 安全 网 关 ( 安 全 路 
由 器 )。 当 AH 在 安全 网 关上 实现 时 ,必须 采用 隧道 模式 。 这 时 , 它 将 自己 保护 的 IP 包 封装 
起 来 .并 在 AH 头 之 前 另 加 了 一 个 新 IP 包头 。 内 层 IP 包 中 包含 了 通信 的 原始 目的 地 址 ,外 
层 IP 包 则 包含 了 IPSec 端点 (安全 网 关 ) 的 信和 宿 地 址 。 


第 10 章 IP 安 全 231 


应 用 AH 前 的 IPv4 应 用 AH 前 的 IPv4 
原 IP 头 | TCP/UDP 头 | 受 保护 数据 [ 诛 iP 关 | Tcprupp 头 | 受 保护 数据 
应 用 AH 前 的 IPv4 应 用 AH 前 的 IPv4 
原 IP 头 AH 头 | TCPJUDP 头 | 受 保护 数据 [mp 类 A 类 [ 原 p 头 | TCP/UDP 关 | 受 保护 数据 
除 可 变 字段 以 外 被 验证 上- 一 一 除 可 变 字段 以 外 被 验证 
图 10-7 AH 用 于 传送 模式 图 10-8 AH 用 于 通道 模式 


1. 流出 分 组 的 处 理 

流出 数据 包 与 一 个 SPD 条 目 ( 表 示 采 用 AH 保护 ) 匹 配 时 ,要 求 SAD 查看 是 否 存在 一 
个 合适 的 SA。 如 果 没 有 ,可 用 IKE 动态 地 建立 一 个 。 如 果 有 ,就 将 AH 应 用 到 这 个 与 之 相 
符 的 数据 包 上 ,该 数据 包 在 SPD 条 目 指定 的 那个 模式 中 。 如 果 它 是 SPD, 应 用 顺序 就 由 它 
所 涉及 的 协议 而 定 。 

创建 一 个 流出 SA 时 (要 么 人 工 , 要 么 通过 IKE) ,将 序列 号 计算 器 初始 化 成 0。 在 利用 
这 个 SA 构建 一 个 AH 头 之 前 ,计算 器 就 开始 递增 。 这 样 保证 了 每 个 AH 头 中 的 序列 号 都 
是 一 个 独一无二 的 , 非 零 的 和 单 向 递增 的 数 。 

AH 头 的 其 余 字 段 都 将 填 满 恰当 的 值 。SPI 字段 分 配 的 值 是 取 自 SA 的 SPI; 下 一 个 头 
字段 分 配 的 是 跟 在 AH 头 之 后 的 数据 类 型 值 ; 而 载荷 长 度 分 配 的 则 是 AH 协议 头 长 度 减 2 
的 值 (32 位 为 单位 ); 身份 认证 数据 字段 设 成 0。 和 ESP 不 一 样 ,AH 将 安全 保护 扩展 到 外 
部 IP 头 的 原 有 的 或 预计 有 的 字段 。 因 此 ,将 完整 性 检查 值 (ICV) 之 前 的 不 定 字段 调 成 零 是 
必要 的 。 对 没有 包含 在 认证 ICV( 因 此 ,不 在 保护 之 列 ) 中 的 IPv4 头 来 说 , 它 的 不 定 字段 是 
Type of service( 服 务 类 型 )、Flags( 旋 标 ) .Fragment offset( 分 段 偏 移 )、Time to live( 存 活 时 
间 ) 和 Header checksum( 头 校 验 和 ) 。 

对 IPv4 选项 或 IPv6 扩展 头 来 说 ,如 果 它 们 是 固定 的 或 预定 的 ,都 会 包含 在 ICV 计算 
之 中 。 否 则 ,必须 在 计算 ICV 之 前 ,把 它们 调 成 零 。 

根据 认证 器 的 要 求 ,可 能 需要 进行 适当 的 填充 。 对 有 些 MAC 来 说 ,比如 DES-CBC 
MAC ,要 求 在 其 上 面 应 用 MAC 的 数据 必须 是 算法 的 块 尺寸 的 倍数 。 在 这 种 情况 下 ,就 必 
须 进 行 填充 ,以 便 正确 地 使 用 MAC。 这 个 填充 项 是 隐 式 添加 的 。 它 必须 一 概 为 零 , 其 大 小 
不 包括 在 载荷 长 度 中 ,并 且 不 随 数据 包 一 起 传送 。 

对 IPv4 来 说 ,AH 头 必 须 是 32 个 字 节 的 一 倍 ,IPv6 则 是 64 个 字 节 的 一 倍 。 如 果 MAC 
的 输出 和 这 项 要 求 不 符 ,就 必须 添加 AH 头 。 对 填充 项 的 值 没有 什么 别 的 要 求 , 但 必须 把 
它 包 括 在 ICV 计算 中 ,而 载荷 长 度 中 必须 反映 出 填充 项 的 大 小 。 如 果 强 制 实施 身份 认证 程 
序 正 确 对 齐 了 ,在 用 HMAC-MD5-96 或 HMAC-SHA-1-96 时 ,就 不 再 需要 填充 项 。 

通过 把 密 钥 从 SA 和 整个 了 P 包 ( 包 括 AH 头 ) 传 到 特定 的 算法 ( 它 被 认 作 SA 中 的 “ 身 
份 认证 程序 ”这 一 方式 .对 ICV 进行 计算 。 由 于 不 定 字段 已 设 成 零 , 它 们 就 不 会 包括 在 
ICV 计算 中 。 接 下 来 ,ICV 值 被 复制 到 AH 的 “身份 认证 数据 ?字段 中 ,IP 头 中 的 不 定 字段 
就 可 根据 IP 处 理 的 不 同 得 以 填充 。 

现在 ,AH 处 理 结束 ,AH 保护 的 IP 包 可 以 输出 了 。 根 据 包 的 大 小 ,在 进行 传送 之 前 ， 
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可 将 它 分 段 ,或 在 两 个 IPSec 同 级 之 间 的 传送 过 程 中 ,由 路 由 器 进行 分 段 。 

2. 进入 分 组 的 处 理 

如 果 一 个 受 安 全 保护 的 包 在 被 收 到 之 前 ,分 成 了 几 段 ,就 要 求 在 AH 输入 处 理 之 前 ,对 
这 些 分 段 进行 重新 组 合 。 

处 理 IPSec 包 的 第 一 件 事 情 是 : 根据 目的 IP 地 址 、 安 全 协议 (AH) 和 SPI, 接 收 方 确定 
适当 的 SA。 如 果 没 有 找到 合适 的 SA ,这 个 包 就 会 被 丢弃 。 

找到 SA 之 后 ,进行 序列 号 检查 。 抗 重播 检查 会 决定 这 个 包 是 新 收 的 还 是 以 前 收 到 的 。 
如 果 检 查 失败 ,这 个 包 就 会 被 丢弃 。 

现在 必须 检查 完整 性 检查 值 (ICV) 了 。 对 整个 数据 包 应 用 认证 器 算法 ,并 将 获得 的 摘 
要 同 保存 下 来 的 ICV 值 进行 比较 。 如 相符 ,IP 包 就 通过 了 身份 认证 ; 如 不 相符 , 便 丢 弃 
该 包 。 


10.4 IKE 


IPSec 使 用 密 钥 交换 (Internet Key Exchange,IKE) 协 议 实 现 安全 协议 的 自动 安全 参数 
协商 ,可 协商 的 安全 参数 包括 数据 加 密 及 鉴别 算法 .加 密 及 鉴别 的 密 钥 .通信 的 保护 模式 ( 传 
输 或 隧道 模式 )、 密 钥 的 生存 期 等 ,这 些 安全 参数 的 总 体 称 之 为 安全 关联 。IPSec 协议 簇 使 
用 IKE 密 钥 交换 协议 来 进行 密 钥 及 其 他 安全 参数 的 协商 。IKE 就 是 IPSec 规定 的 一 种 用 
于 动态 管理 和 维护 SA 的 协议 。 用 IPSec 保护 一 个 IP 数据 流 之 前 ,必须 先 建立 一 个 SA。 
SA 可 以 手工 或 动态 创建 。 当 用 户 数 量 不 多 ,而 且 密 钥 的 更 新 频率 不 高 时 ,可 以 选择 使 用 手 
工 建立 的 方式 。 但 当 用 户 较 多 ,网 络 规模 较 大 时 ,就 应 该 选择 自动 方式 。 


10.4.1 IKE 概述 


1. IKE 介绍 
IKE 协议 的 基础 由 以 下 三 部 分 组 成 。 
。 ISAKMP 协议 : 由 美国 国家 安全 局 (NSA) 的 研究 人 员 开 发 ,是 一 种 密 钥 交换 框架 ， 
独立 于 具体 的 密 钥 交换 协议 。 它 定义 了 消息 交换 的 体系 结构 ,包括 两 个 IPSec 对 等 
体 间 分 组 结构 和 状态 转换 。 
。 OAKLEY 协议 : 由 亚利桑那 大 学 的 一 名 安全 专家 Hilarie Orman 开发 的 一 种 协议 ， 
它 提出 了 基于 模式 的 机 制 在 两 个 IPSec 对 等 体 之 间 达 成 相同 加 密 密 钥 。 
。 SKEME 协议 : 描述 了 一 种 通用 的 密 钥 交换 技术 ,由 加 密 专 家 Hugo Krawczyk 设 
计 。 这 种 技术 提供 了 基于 公 钥 的 身份 认证 和 快速 密 钥 刷新 。 
IKE 协议 实际 上 是 结合 了 ISAKMP 协议 .OAKLEY 协议 和 SKEME 协议 三 个 协议 各 
自 的 优点 ,从 而 形成 了 一 个 新 的 混合 协议 。 它 主要 利用 了 ISAKMP 协议 中 定义 的 “两 个 阶 
段 " 思 想 .OAKLEY 协议 中 定义 的 “模式 ”思想 以 及 SKEME 协议 的 “共享 和 更 新 密 钥 ” 技 
术 。 它 包括 两 个 交换 阶段 ,定义 了 四 种 交换 模式 ,允许 使 用 四 种 认证 方法 。 
ESP 和 AH 用 来 对 IP 报 文 进行 封装 、 加 /解密 、 认 证 以 达到 保护 IP 报 文 的 目的 ,而 IKE 
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和 ISAKMP/Oakley/SKEME 则 是 通信 双方 用 来 协商 封装 形式 、 加 /解密 算法 及 其 密 钥 、 窗 
钥 的 生命 期 认证 算法 的 。 

IKE 的 用 途 ( 如 图 10-9 所 示 ) 就 是 在 IPSec 通信 
双方 之 间 , 建 立 起 共享 安全 参数 及 密 钥 , 亦 即 建立 
“安全 关联 ”关系 。IKE 还 可 用 于 协商 虚拟 专用 网 1 1 
(VPN) 和 运程 用 户 (其 IP 地 址 不 需要 事先 知道 ) 访 | 5% 外 时 村 
问安 全 主机 或 网 络 ,支持 客户 端 协商 。 

IKE 是 一 种 常规 用 途 的 安全 交换 协议 ,可 用 于 国有 
策略 的 磋商 ,以 及 认证 加 密 材 料 的 建立 ,适用 于 多 方面 的 需求 一 一 如 SNMPv3、OSPFv2 等 。 

IKE 采用 的 规范 是 在 “解释 域 " 中 制订 的 。 针 对 IPSec 存在 着 一 个 名 为 RFC2407 的 解 
释 域 (The Internet IP Security Domain of Interpretation for ISAKMP) , 它 定 义 了 IKE 具体 
如 何 与 IPSec SA 进行 协商 。 如 果 其 他 协议 要 用 到 IKE, 每 种 协议 都 要 定义 各 自 的 DOI。 为 
正确 实施 IKE, 须 遵守 三 份 文档 的 规定 ,它们 分 别 是 : 基本 ISAKMP 规范 (RFC2408)、 
IPSec 解释 域 (RFC2407) IKE 规范 本 身 (RFC2409)。 

IKE 主要 完成 两 个 作用 : 安全 关联 的 集中 化 管理 ,减少 连接 时 间 、 密 钥 的 生成 和 管理 。 

2. IKE 涉及 的 密码 算法 

1) D-H 交换 

IKE 协议 利用 了 Diffie-Hellman 交换 算法 完成 通信 双方 密 钥 的 分 发 ,D-H 算法 的 安全 
性 源 于 在 有 限 域 上 计算 离散 对 数 比 计算 指数 更 加 困难 的 事实 , 它 能 够 在 一 个 公开 的 不 安全 
的 信道 上 ,为 交换 的 双方 建立 起 一 个 安全 的 共享 秘密 的 通道 。 其 算法 1 二 gg 二 2” 它们 不 必 是 
秘密 的 ,可 以 在 公共 信道 上 传输 。 

Q@ A 选取 一 个 大 的 随机 数 rz, 并 计算 X 一 g* mod 2 ,然后 将 X 传送 给 B。 

@ B 选取 一 个 大 的 随机 数 >, 并 计算 Y 一 gs” mod 2 然后 将 Y 传送 给 A。 

@ A 计算 k=Y* mod 2 一 gs2 mod n。 

@B 计 算 = XY” mod zz 一 g2 mod n。 

其 中 和 g 都 是 事先 协商 好 的 素数 ,g 和 7 可 以 公开 ,现在 k= 二 g*” mod n。 将 k( 即 1) 
作为 A 和 BB 共享 的 密 钥 。 由 于 窃听 方 只 可 能 知道 n、g、X 和 YY, 而 根据 n、g、X、Y 不 能 恢复 
出 x 和 y, 因 而 无 从 推断 出 A 和 B 的 共享 密 钥 &C 即 ki )。 

2) HMAC 

HMAC 是 一 种 密 钥 化 的 散 列 算法 ,可 由 现 有 的 任何 散 列 算法 加 以 运用 ,从 而 使 之 更 加 
健壮 。 建 立 在 使 用 密 钥 的 消息 的 散 列 算法 基础 上 的 定义 如 下 : 

HMAC(K, M)=H(K@opad, H(K@ipad, M)) 
其 中 : ipad 是 值 为 0x36 的 64bit 数组 ; opad 是 值 为 0x5c 的 数 64bit 组 。IPSec 中 进行 的 所 
有 消息 验证 都 是 采用 HMAC。 常 用 的 算法 有 HMAC_md5 或 HMAC _sha。 

3) 完美 向 前 保密 (PFS) 

完美 向 前 保护 是 指 某 一 密 钥 泄露 不 会 影响 到 其 他 密 钥 所 保护 的 信息 的 安全 性 。 通 过 一 
次 DH 交换 产生 的 对 称 密 钥 ,在 使 用 一 段 时 间 后 ,应 当 丢 弃 ,再 进行 新 一 轮 DH 交换 ,产生 新 
的 共享 密 钥 ,两 个 密 钥 间 完全 没有 相关 性 。 如 果 攻 击 者 破解 一 个 对 称 密 钥 ,也 无 法 推算 出 与 


IKE 协 商 KK、 协商 A IKE 协 商 
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当前 密 钥 无 关 的 新 密 钥 ,因此 他 只 能 访问 此 密 钥 保护 下 的 数据 ,但 不 能 得 到 别 的 密 钥 保 护 下 
的 数据 。 通 常 把 这 种 采用 短暂 的 一 次 性 密 钥 的 系统 称 为 完美 向 前 保密 (PFS)”。 
3. 使 用 符号 的 介绍 
HDR: ISAKMP 头 , 它 的 交换 类 型 就 是 交换 的 模式 。HDR" 表示 加 密 ISAKMP 头 后 

的 载荷 。 

SA: 带 有 一 个 或 多 个 建议 载荷 的 安全 关联 载荷 。 

KE: 密 钥 交 换 载荷 。 

ID.: 标识 载荷 。x 为 让 时 表示 ISAKMP 的 发 起 者 ,x 为 ir 时 表示 ISAKMP 的 响应 者 。 

HASH: 散 列 载荷 。 

SIG: 签名 载荷 。 

CERF: 证 书 载荷 。 

N: x 的 nonce 载荷 。 x 为 1 时 代表 ISAKMP 的 发 起 者 ,x 为 r 时 代表 ISAKMP 的 响 
者 。 

CKY-I: ISAKMP 头 中 的 发 起 者 Cookie。 

CKY-R: ISAKMP 头 中 的 响应 者 Cookie。 

g”: 发 起 者 的 DH 公开 值 。 

s": 响应 者 的 DH 公开 值 。 

prf(key,msg): 使 用 密 钥 key 和 输入 消息 msg 的 为 随机 数 函 数 , 如 HMAC。 

SKEYID: 由 仅 有 通信 双方 知道 的 秘密 密 钥 信息 生成 的 密 钥 串 。 

SKEYID_d: 用 来 为 后 续 IPSec SA 生成 数据 加 密 密 钥 。 

SKEYID_a: IKE 用 来 认证 它 的 消息 的 密 钥 信息 。 

SKEYID_e: IKE 用 来 保护 它 的 新 消息 的 保密 性 的 密 钥 信 息 。 

4. 主要 载荷 说 明 

(1) HDR: HDR 是 ISAKMP 的 通用 头 , 每 一 个 IKE 消息 都 以 它 开 始 , 其 格式 如 
图 10-10 所 示 。 


[= 


发 起 者 Cookie 
响应 者 Cookie 
下 一 个 载荷 主 版 本 次 版 本 交换 类 型 标志 Cookie 
消息 ID 
长 度 


10-10 ”HDR 格式 


其 中 ,“ 发 起 者 Cookie” 和 “响应 者 Cookie” 是 一 对 公有 信息 (如 源 / 目 的 IP 地 址 、 源 / 目 
的 端口 等 ) 和 一 些 本 地 信息 的 散 列 值 ,可 以 帮助 通信 双方 确定 消息 是 否 来 自 对 方 ;“ 标 志 ” 字 
段 主要 用 于 加 密 同 步 ;“ 下 一 个 载荷 "说明 消息 中 的 第 一 个 载荷 ;“ 消 息 ID? 表 示 相 同 的 IKE 
SA 保护 下 的 不 同 协议 的 SA, 所 以 在 IKE SA 建立 的 过 程 中 这 一 字段 的 值 为 0;“ 长 度 ” 字 段 
表示 HDR 头 和 紧 接 在 HDR 之 后 的 所 有 载荷 的 总 长 度 。 
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(2) SA 载荷 : 携带 发 起 者 建议 的 一 系列 安全 
参数 , 供 响应 者 选择 。 其 格式 主要 部 分 如 图 10-11 | “个 载 答 | 保留 | 载荷 长 度 
所 示 。 DOI 

其 中 ,“ 下 一 个 载荷 "表示 紧 接 的 载荷 类 型 , 尽 情形 
管 SA 载荷 后 一 定 跟着 一 个 或 多 个 建议 载荷 ,而 建 
议 载荷 后 又 跟着 一 个 或 多 个 变换 载荷 ,但 是 * 下 一 
个 载荷 "指向 的 是 变换 载荷 后 紧 接 的 载荷 ;“ 载 荷 国 罗 全 各 格 下 
长 度 ”为 整个 SA 载荷 的 长 度 (包括 建议 载荷 和 变换 载荷 ); “保留 "字段 必须 为 04“DO" 制 
定 协商 所 基于 的 DOI;“ 情 形 " 表 明 协 商 发 生 时 的 情形 。 

(3) 建议 载荷 , 依据 SA 载荷 “情形 ”字段 的 值 , 发 起 者 在 发 SA 载荷 的 建议 载荷 部 分 给 
出 建议 接收 者 使 用 的 安全 协议 。 其 格式 如 图 10-12 所 示 。 


下 一 个 载荷 保留 载荷 长 度 
建议 数 协议 ID SPI 大 小 变换 数 
变 长 的 SPI 


10-12 ”建议 载荷 格式 


其 中 ,“ 下 一 个 载荷 "指向 下 一 个 建议 载荷 ,或 者 为 0( 后 面 没有 载荷 时 );“ 保 留 ” 字 段 必 
须 为 0;“ 载 荷 长 度 "为 整个 建议 载荷 的 长 度 ( 包 括 该 建议 载荷 包含 的 变换 载荷 ); 有 时 可 能 
会 建议 选择 使 用 多 个 安全 协议 ,因此 每 一 个 建议 载荷 必须 有 一 个 “建议 数 ”, 如 果 这 些 安全 协 
议 之 间 是 逻辑 “与 ”的 关系 , 则 对 应 的 建议 载荷 的 “建议 数 ” 必 须 相 同 ; 如 果 安 全 协议 之 间 是 
逻辑 "或 ”的 关系 , 则 对 应 的 建议 载荷 的 “建议 数 " 单 调 增长 ;“ 协 议 ID? 表 示 本 载荷 建议 使 用 
哪 一 个 安全 协议 ,阶段 1 只 能 选择 ISAKMP 协议 ,阶段 2 可 以 选择 AH、ESP、.COMP 或 它 
们 的 人 逻辑 组 合 ;“SPI” 大 小 表示 “ 变 长 的 SPI" 字 段 值 的 长 度 , 阶 段 1 没有 使 用 到 SPI, 所 以 这 
个 字段 的 值 为 0;“ 变 换 数 ” 表 示 包 含 在 该 建议 载荷 中 的 变换 载荷 的 个 数 。 

(4) 变换 载荷 : 用 于 建立 SA 的 协商 中 为 一 个 


下 一 个 载荷 | 保留 “| 载 科 长 度 | 制定 协议 提供 不 同 的 安全 机 制 。 格 式 如 图 10-13 
变换 数 。 | 变换 ID | 。 保留 2 | 所 示 。 
SA 属性 | 其 中 ,下 一 个 载荷 "或 者 指向 下 一 个 变换 载 


荷 ,或 者 为 0( 后 面 没有 变换 载荷 时 );“ 保 留 " 字 段 
必须 为 0;“ 载 荷 长 度 ? 为 本 载荷 的 字 节 数 ; 因为 可 
能 有 多 个 变换 ,因此 每 一 个 变换 必须 对 应 一 个 “变换 数 ” ,并且 这 些 * 变 换 数 ?是 单调 增长 的 ; 
“变换 ID 说 明 建 议 协议 的 变换 标识 符 ;“ 保 留 2” 也 必须 为 0;“SA 属性 ”包含 由 “变换 ID” 
字段 指定 的 变换 的 SA 属性 ,该 属性 用 来 在 IKE 通信 双方 之 间 传 递 具体 的 参数 ,如 加 密 算 
法 . 散 列 算法 ,操作 模式 等 。 
(5) 密 钥 交换 载荷 KE: 用 于 传输 密 钥 交 换 数据 。 发 起 者 和 响应 者 都 在 本 地 计算 DH 
公 钥 ,然后 将 该 公 钥 编码 人 KE 载荷 。 
(6) nonce 载荷 Ni: 包含 一 个 随机 数 ,保护 交换 数据 免 受 重 放 攻 击 。 
(7) 标识 载荷 IDx : 用 于 确认 SA 协商 发 起 者 的 身份 ,响应 者 用 身份 信息 来 确定 应 用 于 
SA 的 安全 策略 。 


10-13 ”变换 载荷 格式 
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5. 交换 与 交换 模式 

由 于 IKE 以 ISAKMP 为 框架 ,所 以 它 使 用 了 两 个 交换 阶段 ,第 一 个 阶段 用 于 建立 IKE 
SA ,第 二 个 阶段 利用 已 建立 的 IKE SA 为 IPSec 协商 具体 的 一 个 或 多 个 安全 关联 , 即 建立 
IPSec SA。 同 时 IKE 定义 了 交换 模式 , 即 主 模式 (main mode)、 积 极 模式 (aggressive mode) 
又 称 野 蛮 模 式 、 快 速 模式 (quick mode) 以 及 新 群 模式 (new group mode) 。 

在 不 同 的 交换 阶段 可 以 采用 的 交换 模式 不 同 , 具 体 作 以 下 介绍 。 

1) 阶段 1 交换 

在 阶段 1, 主 要 任务 是 创建 一 个 IKE SA ,为 阶段 2 交换 提供 安全 保护 。 

阶段 1 交换 包括 主 模式 交换 和 积极 模式 交换 : 主 模式 将 SA 的 建立 和 端 对 端 身份 认证 
以 及 密 钥 协 商 相 结合 ,使 得 这 种 模式 能 抵抗 中 间 人 攻击 ; 积极 模式 简化 了 协商 过 程 ,但 抵抗 
攻击 的 能 力 较 差 , 也 不 提供 身份 保护 。 它 们 均 在 其 他 任何 交换 之 前 完成 ,用 于 建立 一 个 IKE 
SA 及 验证 过 的 密 钥 。 其 中 主 模 式 的 特点 包括 身份 保护 和 对 ISAKMP 协商 能 力 的 完全 利 
用 。 其 主要 包括 : 协商 保护 套件 .执行 Diffie-Hellman 交换 ,认证 Diffie-Hellman 交换 及 认 
证 IKE SA。 

与 IPSec SA 不 同 的 是 ,IKE SA 是 一 种 双向 的 关联 : IKE 是 一 个 请 求 -响应 协议 ,一方 
是 发 起 者 (initiator) , 另 一 方 是 响应 者 (responder) 。 一 点 建立 了 IKE SA, 将 同时 对 流入 和 流出 
业务 进行 保护 。IKE SA 提供 了 各 种 各 样 的 参数 ,它们 是 由 通信 实体 双方 协商 制定 的 。 这 些 参 
数 成 为 一 个 “保护 套件 ” 包括 散 列 算法 .认证 算法 .Diffie-Hellman 组 .加密 算 法 等 。 

2) 阶段 2 交换 

在 阶段 2, 主 要 任务 是 在 IKE SA 的 保护 下 ,创建 IPSec SA。 

一 个 阶段 1 的 SA 可 以 用 于 为 IPSec 建立 一 个 或 多 个 SA。 这 样 ,通过 协商 适当 的 
IPSec SA ,建立 了 通信 对 等 方 (如 安全 网 关 ) 之 间 的 安全 关联 。 由 于 阶段 2 交换 受 阶 段 1 协 
商 好 的 IKE SA 的 保护 ,所 以 在 阶段 2 中 使 用 快速 模式 。 在 快速 模式 下 交换 的 载荷 都 是 加 
密 的 。 

新 群 模式 用 于 为 Diffie-Hellman 密 钥 交换 协商 一 个 新 的 群 。 新 群 模式 是 在 ISAKMP 
阶段 1 交换 中 建立 的 SA 的 保护 之 下 进行 的 , 同 快速 模式 一 样 , 在 新 群 模式 下 交换 的 载荷 也 
都 是 加 密 的 。 

在 两 个 交换 阶段 中 ,阶段 2 交换 是 在 阶段 1 建立 的 IKE SA 的 保护 下 进行 的 ,而 阶段 1 
交换 是 在 没有 任何 安全 保护 的 情况 下 进行 的 ,所 以 IKE 充分 使 用 四 种 认证 方法 。 这 四 种 认 
证 方法 分 别 是 : 基于 数字 签名 的 认证 、 基 于 公 钥 加 密 的 认证 、 基 于 修订 的 公 钥 加 密 的 认证 和 
基于 预 共享 密 钥 的 认证 。IKE 规定 在 上 述 两 个 阶段 .四 种 模式 下 ,阶段 1 主 模式 和 阶段 2 快 
速 模 式 必 须 实现 。 下 面 就 主要 介绍 四 种 认证 下 必须 实现 的 模式 。 


10.4.2 协商 过 程 


1. 阶段 1 协商 

阶段 1 交换 可 以 使 用 主 模式 和 积极 模式 ,其 中 规定 主 模式 必须 实现 。 无 论 使 用 哪 一 种 
模式 交换 ,通信 双方 建立 共享 秘密 的 唯一 方式 是 采用 Diffie-Hellman 交换 。Diffie-Hellman 
算法 的 优点 是 可 以 通过 即使 是 不 安全 的 途径 协商 共享 秘密 ,其 安全 性 源 于 在 有 限 域 上 离散 
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对 数 的 计算 比 指数 计算 更 为 困难 ; 它 的 缺点 是 无 法 抵御 中 间 人 攻击 ,因为 参与 密 钥 协商 过 
程 的 通信 双方 没有 办 法 验证 与 它们 会 话 的 另 一 方 是 谁 。 为 了 弥补 Diffie-Hellman 密 钥 交换 
协议 的 不 足 , 在 IKE 阶段 1 交换 中 增加 了 对 Diffie-Hellman 交换 的 共享 秘密 进行 认证 的 步 
又 ,同时 对 所 建立 的 IKE SA 本 身 进行 认证 。 

在 阶段 1 交换 中 ,无 论 使 用 哪 种 模式 ,都 可 以 采用 数字 签名 、 公 钥 加 密 、 修 订 的 公 钥 加 密 
和 预 共 享 密 钥 这 四 种 认证 方法 ,但 交换 消息 的 载荷 组 成 因 认证 方法 的 不 同 而 有 所 差异 。 

不 同 认证 模式 下 密 钥 信息 SYEKID 的 计算 方式 也 是 不 同 的 。 

基于 数字 签名 的 认证 : SKEYIDso。. 王 prfCNi|N.,Kon(I,R)); 

基于 公 钥 加 密 的 认证 : SKEYID, 王 prf(hashCN;|N,),Koa(I,R)); 

基于 预 共 享 密 钥 认证 : SKEYID,s 王 prf(Ku。(CI,R),NiIN.)。 

主 模式 或 积极 模式 都 最 终生 成 经 认证 的 密 钥 ,并 根据 具体 的 安全 策略 来 保护 此 后 的 通 
言 数据 : 

SKEYID_d=pr{(SKYID,g xymodn|CKY_IICKY_RI0) 

SKEYID_a=pr{(SKYID,SKYID_d|lgxymodn|CKY_I|CKY_RI1) 

SKEYID_e=pr{(SKYID,SKYID_alg xymodn|CKY_I|CKY_R|2) 
其 中 以 SKEYID 为 基础 衍生 出 后 续 密 钥 ,SKEYID_d 为 用 于 衍生 的 加 密 材 料 , SKEYID_a 
用 来 提供 消息 完整 性 和 对 数据 源 进行 身份 认证 ,SKEYID_e 用 于 对 IKE 消息 加 密 。 

为 了 保护 交换 数据 的 完整 性 ,发 起 者 和 响应 者 分 别 生 成 认证 码 HASH_I 和 HASH_R。 
当 使 用 数字 签名 认证 时 ,HASH_I 和 HASH_R 需 经 过 生成 方 的 签名 并 被 对 方 验证 ; 而 使 
用 其 他 认证 方式 时 ,HASH_I 和 HASH_R 直接 可 以 认证 被 交换 的 数据 。 

HASH_I=pr{(SKEYID, g*modn|g’modn|CKY_I|CKY_R|SA';, |ID;) 

HASH_R=pr{(SKEYID. g’*modn|g*modn|CKY_R|CKY_I|SAi, |ID;) 

下 面 主要 对 协商 过 程 进行 介绍 。 

1) 使 用 预 共 享 密 钥 的 阶段 1 交换 

预 共享 密 钥 验证 方式 是 最 简单 的 一 种 认证 方法 。 发 起 方 和 响应 者 必须 事先 利用 非 密码 
技术 协商 好 一 个 或 多 个 不 同 的 预 共 享 密 钥 ,并 为 具体 的 某 次 交换 标识 出 所 使 用 的 某 个 密 钥 。 

(1) 预 共 享 密 钥 认证 主 模式 

主 模 式 下 使 用 预 共 享 密 钥 验证 方式 的 消息 交换 过 程 如 图 10-14 所 示 。 


发 起 者 响应 者 
HDR, SA (D 
O) HDR，SA 
一 一 | 
HDR, KE, N; | 
(9) HDR, KE, N; 
be | 


HDR’, IDs, HASH I | 一 -一 | 
HDR’, IDi, HASH_R 


10-14 ” 预 共 享 密 钥 认证 的 主 模式 


238 计算 机 系统 安全 教程 


主 模式 的 交换 过 程 中 ,前 两 个 消息 用 于 协商 SA 的 属性 , 报 文 以 明文 传输 ,没有 经 过 认 
证 。 发 起 者 可 以 建立 含有 一 个 或 多 个 提议 的 SAi :响应 者 不 能 修改 任何 建议 的 属性 。 发 起 
者 在 第 一 条 消息 ISAKMP 头 中 的 发 起 者 Cookie 字段 ,插入 自己 的 Cookie, 此 时 响应 者 
Cookie 字段 为 0, 在 第 二 条 消息 中 响应 者 才 填 入 一 个 自己 的 Cookie。 在 以 后 的 交换 中 它 
们 始终 存在 而 且 不 能 改变 。 这 些 Cookie 是 一 种 长 8 个 字 节 的 伪 随 机 数 , 对 于 一 个 特定 的 交 
换 来 说 ,它们 与 SPI 标识 IPSec SA 一 样 ,由 二 Cky_I, Cky_R 放 唯一 地 标识 IKE SA, 它 可 以 
防止 重 放 攻击 。Cookie 由 源 IP 地 址 、 端 口号 、 目 的 地 址 、 时 间 和 只 有 生成 者 才 知 道 的 一 个 
秘密 生成 。 具 体 的 Cookie 的 生成 方法 如 下 : 

CKY_I 一 MD5(secret_i, 源 IP| 目 的 IP| 源 UDP 端口 号 | 目的 UDP 端口 号 | 时 间 iD 

CKY_R 一 MD5(secret_r, 源 IP| 目 的 IP| 源 UDP 端口 号 | 目的 UDP 端口 号 | 时 间 | 
CKY_D 

中 间 两 个 消息 分 别 用 于 交换 D_H 的 公共 值 和 当前 时 间 (Nonce) 即 N; 和 N, ,建立 一 个 
主 密 钥 (SKEYID)。Nonce 是 用 于 产生 新 的 密 钥 材料 并 阻止 通过 重 放 攻 击 产 生 的 虚假 的 安 
全 联盟 。 

最 后 两 个 消息 用 来 传送 相互 认证 所 需要 的 信息 。ID 用 来 认证 身份 , HASH_I 和 
HASH_ R 散 列 摘要 用 来 证 明 消 息 1 到 4 的 完整 性 。 两 条 消息 都 是 先 用 SKYID_e 加 密 , 然 
后 用 SKEYID_a 认证 。 

使 用 预 共 享 密 钥 验证 方式 的 主 模式 消息 交换 预 共享 密 钥 的 缺陷 在 于 : 由 于 SKEYID 的 
生成 依赖 于 参与 方 的 共享 密 钥 ,所 以 如 果 不 知道 最 后 两 条 消息 的 接收 方 使 用 的 是 哪个 预 共 
享 密 钥 时 ,对 方 将 不 能 解密 两 条 消息 的 ID 信息 。 一 种 解决 办 法 是 根据 报 文中 的 源 IP 地 址 
来 查找 相应 的 预 共 享 密 钥 ,这 给 一 个 不 使 用 静态 IP 地 址 的 环境 下 使 用 预 共 享 密 钥 认 证 带 
来 很 大 的 局 限 性 。 解 决 方法 之 一 就 是 使 用 基于 公 钥 的 认证 方法 ,但 如 果 必 须 使 用 预 共享 密 
钥 认 证 的 方式 , 则 可 以 采用 积极 模式 交换 。 

(2) 预 共 享 密 钥 认证 积极 模式 

预 共 享 密 钥 认 证 积极 模式 的 用 途 与 主 模式 交换 相同 ,都 是 为 了 建立 一 个 验证 的 安全 关 
联 和 密 钥 ,随后 可 用 IKE 为 其 他 安全 协议 建立 安全 关联 。 主 要 差别 在 于 ,积极 模式 只 需要 
用 到 主 模 式 一 半 的 消息 。 

使 用 预 共享 密 钥 认证 积极 模式 交换 如 图 10-15 所 示 。 第 一 条 消息 包含 一 个 “保护 套件 ” 
列表 、DH 公共 值 `Nonce 以 及 一 些 身份 认证 的 数据 ; 第 二 条 消息 是 一 个 响应 ,对 响应 方 进 
行 身份 认证 ,并 回应 一 个 选择 好 的 “保护 套件 ”、.DH 公共 值 、Nonce 以 及 身份 认证 的 数据 ,此 
时 已 经 交换 了 所 有 用 于 IKE SA 加 密 密 钥 的 信息 ,因此 最 后 一 条 消息 可 以 加 密 , 但 不 是 必需 


的 ; 最 后 一 条 消息 用 于 认证 发 起 者 的 身份 。 
发 起 者 响应 者 


HDR, SA, KE, IDi, N; 0) 
HDR, SA, KE, ID;, 
N;, HASH R 
HDR, HASHi 


10-15 ” 预 共 享 密 钥 认证 积极 模式 
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预 共 享 密 钥 认 证 积极 模式 交换 的 局 限 性 : 

(1) 积极 模式 不 能 体现 IKE 丰富 的 协商 功能 ,积极 模式 对 消息 量 的 限制 也 导致 了 对 该 
模式 的 协商 能 力 的 限制 。 

(2) 不 提供 对 通信 双方 的 身份 保护 ,因为 所 有 的 认证 信息 一 次 就 发 送 完 毕 了 。 

(3) 由 于 发 起 者 必须 在 第 一 条 消息 中 提供 它 的 DH 公共 值 以 及 它 的 Nonce, 因 此 在 不 
同 的 “保护 套件 ”中 无 法 提供 不 同 的 DH 公共 值 。 

(4) 积极 模式 限制 了 加 密 算 法 和 散 列 算法 的 使 用 。 

2) 使 用 数字 签名 的 阶段 1 交换 

数字 签名 是 签字 人 首先 用 单 向 哈 希 函数 求 得 原 报 文 的 报 文摘 要 ,再 用 RSA 算法 中 的 私 
钥 加 密 报 文摘 要 ,就 生成 了 “数字 签名 ”, 接 收 方 用 签字 人 的 公 钥 解密 “数字 签名 ”, 得 到 签字 
人 发 来 的 报 文摘 要 ,然后 再 计算 收 到 报 文 的 报 文摘 要 ,将 两 个 报 文摘 要 进行 比较 , 若 相 同 , 则 
验证 了 报 文 及 签名 是 真实 完整 的 。 

使 用 数字 签名 的 主 模式 下 交换 由 六 个 消息 构成 ,其 过 程 如 图 10-16 所 示 。 


发 起 者 响应 者 
HDR，SA 
HDR，SA 
HDR，KE， 
人 HDR, KE, 
HDR”*, ID;, Nr, [Cert_Req] 
[Certl，SIG 1 


HDR’*, IDi, 
[Cert], SIG_R 


10-16 ”数字 签名 认证 的 主 模式 


前 两 个 消息 用 于 建立 发 起 者 和 响应 者 之 间 达 成 一 系列 安全 参数 的 共识 ,包括 加 密 算法 、 
散 列 算法 .身份 认证 方式 .OAKLEY 群 等 。 这 些 安全 参数 主要 用 于 对 身份 信息 和 阶段 2 交 
换 的 保护 ,其 中 ,加 密 算法 将 用 于 对 后 续 的 IKE 协商 的 加 密 保 护 ; 散 列 算法 用 于 对 交换 消息 
进行 完整 性 保护 ; 身份 认证 方式 表明 对 对 方 的 身份 的 鉴别 方式 ; OAKLEY 群 选择 Diffie- 
Hellman 交换 的 基 群 。 

中 间 两 个 消息 完成 Diffie-Hellman 交换 ,为 通信 双方 生成 一 个 共享 的 秘密 密 钥 ,通信 双 
方 都 将 依据 此 秘密 ,进行 独立 的 密 钥 衍生 。KE 是 密 钥 交换 载荷 ; N;/N, 是 发 起 方 /响应 方 
产生 的 瞬时 载荷 。 

后 两 个 消息 主要 用 于 对 已 交换 的 IKE 消息 进行 一 致 性 检查 ,以 及 对 端 进行 身份 验证 。 
HDR* 表示 随后 的 整个 消息 都 使 用 在 之 前 已 协商 好 的 密 钥 和 加 密 算法 。IDi/ID;. 表 示 发 起 
者 /响应 者 的 身份 鉴别 载荷 ; SIG_I/SIG_R 分 别 表示 发 起 者 和 响应 者 的 数字 签名 载荷 ,对 
HASH_I 和 HASH_R 进行 数字 签名 ; [Certj 表 示 证 书 载荷 可 选 。 

3) 使 用 公 钥 加 密 的 阶段 1 交换 

使 用 公 钥 加 密 的 身份 验证 交换 ,其 交换 的 辅助 信息 是 加 密 的 矫 时 载荷 nonce 和 实体 的 
身份 信息 ID。 交 换 的 双方 只 有 能 重新 推导 出 HASH 值 才 算 通 过 验证 。 

使 用 公 钥 加 密 的 主 模式 消息 交换 过 程 如 图 10-17 所 示 。 
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发 起 者 响应 者 


HDR，SA (9) 
| HDR, SA 
HDR, {Ni}Pub_r, KE, we 
{IDi}Pub_r 
HDR, {Nr}Pub i 


KE, {IDi}Pubr 


We ee HDR’, HRSH R 


图 10-17 公 钥 加 密 认证 的 主 模式 


Pub_i/Pub_r 是 使 用 发 起 方 /响应 方 的 公 钥 进行 加 密 的 载荷 ,分 别 是 身份 鉴别 载荷 和 矫 
时 载荷 ,因此 在 第 三 和 第 四 个 消息 处 理 完 成 后 即 通 过 了 身份 鉴别 。 而 第 五 和 第 六 两 个 消息 
用 于 验证 双方 消息 交换 的 一 致 性 。 

上 述 公 钥 加 密 认证 方法 的 缺点 是 : 在 协商 的 过 程 中 总 共 需 要 进行 四 次 耗 时 的 加 密 运 
算 。 所 以 ,对 公 钥 加 密 认 证 方法 进行 了 改进 。 

4) 使 用 改进 的 公 钥 加 密 的 阶段 1 交换 

改进 的 公 钥 加 密 认 证 主 模式 只 需要 一 般 的 公 钥 运算 ,而 且 发 起 者 可 以 向 响应 者 出 示 证 
书 。 然 而 发 起 者 仍然 需要 使 用 IKE 之 外 的 方法 来 获得 响应 者 的 证 书 。 主 模式 下 改进 的 公 
钥 加 密 验 证 方式 的 消息 交换 过 程 如 图 10-18 所 示 。 其 中 ,{)ke_x 表示 用 密 钥 “ke_x” 进 行 对 
称 密 钥 加 密 ,Ke_i==pr{(N;, CKY-D,Ke_r=pr{(N,. CKY-R)。 


HDR’*, HRSH_I 


发 起 者 响应 者 
HDR, SA 


| HDR, sA 


HDR, {Ni}Pub_r, 
(3) 


{KE}ke i，{IDike i， 


[{Cert}ke_i] i 
(4) HDR {N,}Pub i 


| (KEjke r，{IDirjke 
(5) [{Cert}ke_r ], 


HDR’*, HASH_I 


HDR’*, HASH_R 


图 10-18 改进 的 公 钥 加 密 认 证 的 主 模式 

5) 其 他 积极 模式 交换 

数字 签名 认证 积极 模式 、 公 钥 加 密 认证 积极 模式 以 及 修订 的 公 钥 加 密 认 证 积极 模式 的 
交换 步骤 也 如 图 10-18 所 示 ,区别 仅 在 于 后 两 个 消息 中 的 验证 载荷 的 表现 形式 不 同 : 对 于 
基于 预 共 享 密 钥 的 认证 以 及 基于 公开 密 钥 的 认证 来 说 ,是 一 个 散 列 载荷 ; 而 对 于 基于 数字 
签名 的 认证 来 说 ,是 一 个 签名 载荷 ,但 是 不 管 哪 种 积极 模式 都 存在 前 面 所 阐述 的 局 限 性 。 

积极 模式 (又 称 野蛮 模式 ) 适 用 于 首先 考虑 带宽 的 场合 ,或 者 一 方 对 男 一 方 的 策略 有 比 
较 全 面 的 了 解 , 那 么 利用 这 种 交换 方式 就 可 以 更 快 地 建立 IKE SA, 而 没有 必要 利用 主 模 式 
协商 全 部 功能 。 
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2. 阶段 2 协商 

在 完成 了 前 述 的 IKE 阶段 1 交换 即 建立 起 ISAKMP SA 之 后 ,可 以 利用 它 来 进行 阶段 
2 交换 即 为 IPSec 协议 生成 相应 的 IPSec SA 。 

1) 快速 模式 

阶段 2 交换 定义 了 快速 交换 模式 , 它 使 用 ISAKMP SA 来 保护 通信 。 快 速 模式 中 ,消息 
由 ISAKMP 头 、.HASH 载荷 .一 个 或 多 个 SA 载荷 以 及 其 他 载荷 组 成 。 一 个 ISAKMP SA 
可 用 于 保护 多 个 同时 发 生 的 快速 模式 协商 ,由 于 这 些 协 商都 要 使 用 在 阶段 1 交换 生成 的 
cookie 对 ,为 了 能 够 区 分 这 些 同时 进行 的 协商 ,必须 为 每 个 协商 指定 唯一 标识 ,具体 做 法 是 
在 IKE 报 文 的 ISAKMP 报头 中 加 入 消息 标识 Mn 。 

快速 交换 模式 仅 通 过 交换 三 条 消息 来 完成 具体 协议 的 安全 关联 的 协商 。 发 起 方 根据 本 
地 的 策略 要 求 , 通 过 SA 载荷 提议 一 种 或 多 种 保护 数据 通信 的 安全 协议 (如 ESP 或 AH) ,并 
给 出 相应 的 变换 ( 即 安全 协议 的 安全 参数 )。 响 应 方 根据 本 地 策略 的 要 求 ,从 提议 的 一 种 或 
多 种 安全 协议 (如 ESP 或 AH) 中 选择 一 种 ,并 从 未 选中 的 安全 协议 给 出 的 一 种 或 多 种 保护 
套间 中 选取 一 种 ,作为 选择 后 的 安全 关联 (CSA) 来 保护 数据 通信 。 人 快速 模式 中 包含 的 瞬时 载 
荷 用 来 产生 新 的 密 钥 材料 。 每 个 快速 模式 可 以 交换 一 个 可 选 的 KE 载荷 来 允许 另外 的 DH 
交换 。 是 否 包含 KE 载荷 将 决定 本 次 IKE 协商 能 否 提供 “完美 前 向 保密 (Perfect Forward 
Secrecy ,PFS) ”服务 。 

快速 模式 交换 过 程 如 图 10-19 所 示 。 

发 起 者 响应 者 
HDR’”, HASH(1), Ni;, (D 
SA，[KE]，[ID。，IDe-] 
HDR"，HASH(C2)，N,，SA， 


[KE], 
HDR, HASH(3) [IDe, IDe] 


10-19 ”快速 模式 


IKE SA 保护 快速 模式 的 方法 有 : 用 SKEYID_e 加 密 所 有 交换 的 消息 ,提供 机 密 性 服 
务 ; 对 所 有 的 消息 进行 认证 ,不 仅 提供 数据 完整 型 保护 ,还 可 以 对 数据 源 的 身份 进行 验证 ， 
即 在 接 到 消息 后 ,可 以 验证 它 是 否 来 自 认证 通过 的 实体 ,以 及 那 条 消息 在 传输 过 程 中 有 没有 
被 算 改 。 

快速 模式 不 是 一 个 完整 的 交换 , 它 需 要 阶段 1 形成 的 SKEYID_a, 如 果 阶 段 1 正常 完 
成 , 则 可 以 保证 SKEYID_a 的 机 密 性 。 

3 个 消息 中 都 使 用 了 散 列 载荷 ,用 以 保护 交换 消息 的 完整 性 。 其 计算 方式 为 
HASH(1)=pr{(SKEYID_a, Mw |SA|N;|[LKEJIL ID ,ID-]) 
HASH(2)=pr{(SKEYID_a, Mw |N;_s|SAIN:|ILKEJIL IDs, IDe]) 
HASH(3)=pr{(SKEYID a, 0| Mw |N;_s |N, 4) 

快速 模式 需要 从 SKEYID_d 状态 中 衍生 出 用 于 IPSec SA 的 密 钥 。 由 于 所 有 IPSec 密 

钥 都 衍生 自 相 同 的 源 , 所 以 相互 之 间 是 有 关联 的 。 如 果 攻 击 者 得 到 SKEYID_d, 那 么 衍生 出 
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来 的 IPSec SA 密 钥 都 是 不 安全 的 。 为 此 ,IKE 协议 提供 了 完美 向 前 保密 (PFS)。 所 谓 
PFS , 指 即 使 攻破 了 第 一 阶段 的 密 钥 交 换 ( 即 攻破 了 SKEYID 等 衍生 密 钥 ) ,也 只 能 阅读 受 
该 SA 保护 的 信息 , 却 不 能 阅读 收 IPSec SA 保护 的 信息 。 

消息 (1) 2) 中 如 果 不 包含 KE 载荷 , 则 IKE 协议 规定 新 的 密 钥 材 料 生 成 方法 为 

KEYMAT=pr{(SKEYID _d, protocol | SPI | Ni; ,|N, 4,) 
显然 ,如 果 攻 破 了 SKEYID_d 等 , 则 KEYMAT 很 容易 被 第 三 方 计算 出 来 ,此 时 不 能 实 
现 PFS。 

消息 (1)、 (2) 中 如 果 包 含 KE 载荷 , 则 IKE 协议 规定 新 的 密 钥 材料 生成 方法 为 

KEYMAT=pr{(SKEYID_d, g™ |protocol|SPI|N;_ ,|N,,) 

其 中 : g* 表 示 快 速 模式 下 DH 交换 生成 的 暂时 共享 密 钥 。 此 时 ,即使 第 三 方 攻破 了 
SKEYID_d, 也 只 能 阅读 受 保护 的 gs* ,而 根据 离散 对 数 的 难 解 性 ,第 三 方 仍 不 可 能 知道 
KEYMAT ,这 就 实现 了 PFS。 

在 第 一 、 第 二 两 个 消息 中 ,分 别 包含 了 两 个 身份 载荷 。 这 两 个 载荷 与 阶段 1 的 身份 载 
荷 的 作用 是 不 一 样 的 。 它 们 不 用 于 鉴别 目的 ,而 在 于 为 将 建立 的 IPSec SA 协商 构造 选择 
符 。 这 个 选择 符 规 定 了 该 IPSec SA 将 保护 什么 样 的 通信 。 这 两 个 消息 中 还 包含 了 两 个 
Nonce 载荷 ,这 两 个 载荷 的 目的 在 于 给 对 方 一 个 存活 的 证 明 , 表 明 自 身 确实 是 通信 的 对 方 ， 

不 是 冒充 者 。 因 为 冒充 者 不 能 从 第 一 个 消息 中 解密 出 Ni, 因 此 不 能 由 自身 的 消息 计算 出 
pe HASH(2) 。 

IPSec SA 的 建立 过 程 受到 IKE SA 的 机 密 性 、 完 整 性 保护 。 而 且 , 通 过 HDR 中 的 
Cookie 字段 以 及 Nonce 载荷 ,使 建立 过 程 在 一 定 程度 上 能 抵抗 重 放 攻 击 和 拒绝 服务 攻击 。 

2) 新 群 模式 

新 群 模式 用 于 为 Diffie-Hellman 密 钥 交换 协商 一 个 新 的 群 。 新 群 模式 是 在 ISAKMP 
阶段 1 交换 的 SA 的 保护 之 下 进行 的 ,如 图 10-20 所 示 。 

发 起 者 本 响应 者 

HDR, HASH(1), SA 


2) HDR, HASH(2)，SA 


10-20 ”新 群 模式 交换 过 程 


新 群 模式 用 于 为 Diffie-Hellman 密 钥 交换 协商 一 个 新 的 群 。 新 群 模式 是 在 ISAKMP 
阶段 1 交换 的 SA 的 保护 之 下 进行 的 。 在 第 一 条 消息 中 ,发 起 方 送出 一 个 SA 载荷 ,其 中 包 
含 了 新 群 的 特征 (例如 模 指 数 运算 的 指数 和 底数 ) ,如 果 响 应 者 能 够 接受 这 个 群 , 便 在 第 二 条 
消息 中 用 完全 一 样 的 信息 作出 回应 ,否则 拒绝 该 提议 。 在 新 群 交换 中 ,HASH(1) 和 HASH(2) 
的 计算 为 

HASH(1)=pr{(SKEYSTR_a, MsgID | SA) 
HASH(2)=pr{(SKEYSTR_a, MsgID | SA) 
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习 题 10 


. IPSec 可 以 防范 哪些 攻击 ? 
. 传输 模式 和 隧道 模式 的 区 别 是 什么 ? 
. 什么 是 安全 关联 ? 
. 在 IPSec 中 ,IPSec 策略 由 安全 策略 数据 库 加 以 维护 。 对 一 个 SPD 条 目 来 说 , 它 可 
以 定义 哪 几 种 行为 ? 
5. IPSec 提供 哪些 功能 ? 
6. 在 AH 中 ,是 不 是 对 IP 报头 中 的 所 有 字段 计算 MAC ,为 什么 ? 
7. 简 述 一 下 IKE 协议 的 工作 原理 。 


上 oo 玫 
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目前 随 着 Internet 尤其 是 WWW 的 日 益 普 及 ,人 们 对 网 络 的 依赖 越 来 越 强 ,网 络 已 经 
成 为 人 们 生活 中 不 可 缺少 的 一 部 分 ,但 是 随 着 网 络 应 用 的 深入 , 当 人 们 享受 着 互联 网 带 来 的 
方便 快捷 时 ,各 种 类 型 的 用 户 加 入 到 网 络 中 ,出 于 政治 .经济 和 商业 的 目的 ,网 站 成 为 攻击 目 
标 。Web 安全 问题 已 经 成 为 Internet 发 展 中 必须 面 对 的 重要 问题 。 


11.1 Web 的 基本 概念 与 相关 技术 


Web 又 称 World Wide Web( 环 球 信息 网 ,中 文 名 是 “万 维 网 ”) ,是 由 文档 和 文档 之 间 的 
链接 构成 的 庞大 信息 网 。Web 设计 中 引入 了 三 个 重要 概念 , 即 统一 资源 定位 符 (Uniform 
Resource Locator,URL) 、 超 文本 传输 协议 (Hypertext Transfer Protocol, HTTP) 和 超 文 本 
标记 语言 (Hypertext Markup Language, HTML)。Web 的 基本 结构 是 采用 开放 式 的 客户 
机 /服务 器 结构 (Client/Server) ,分 成 服务 器 端 、 客 户 端 ,传输 规程 三 个 部 分 。 服 务 器 规定 传 
输 设 定 ,信息 传输 格式 和 服务 器 本 身 的 开放 式 结构 ; 客户 机 称 浏览 器 ,用 于 向 服务 器 发 送 资 
源 索 取 请 求 , 并 将 收 到 的 信息 进行 解密 和 显示 ; 传输 规程 是 Web 浏览 器 与 服务 器 之 间 进 行 
通信 传输 的 规范 。 

1. URL 

为 了 在 广阔 的 Internet 世界 中 找到 所 需 的 信息 ,组 成 Web 的 网 页 必须 拥有 唯一 的 地 
址 。 网 页 的 唯一 标识 符 叫 做 统一 资源 定位 符 (URL)。URL 是 Web 中 用 来 寻找 资源 地 址 的 
方法 ,表示 Web 服务 器 的 地 址 以 及 获取 服务 所 用 的 传输 协议 。 服 务 器 地 址 可 以 是 本 机 磁 
盘 , 也 可 以 是 Internet 上 的 站 点 。URL 的 一 般 形 式 如 下 : 


二 URL 的 访问 方式 二 :// 二 主机 二 :二 端口 二 /二 路 径 二 


2. HTTP 协议 

HTTP 协议 是 分 布 式 Web 应 用 的 核心 技术 ,在 TCP/IP 协议 栈 中 属于 应 用 层 。 它 定义 
Web 浏览 器 向 Web 服务 器 发 送 索 取 Web 页 面 请 求 格式 以 及 Web 页 面 在 Internet 上 的 传 
输 方式 。 其 工作 过 程 是 : Web 服务 器 在 80 端口 等 候 Web 浏览 器 的 请 求 ; Web 浏览 器 通过 
三 次 握手 与 服务 器 建立 TCP/IP 连接 ,然后 Web 浏览 器 通过 类 似 -GET/dailynews. html 形 
式 的 简单 命令 向 服务 器 发 送 索 取 页 面 的 请 求 ,服务 器 则 以 相应 的 文件 为 内 容 响 应 Web 浏览 
器 的 请 求 。 

3. HTML 

Web 服务 的 特点 在 于 高 度 的 集成 性 , 它 能 够 实现 不 同类 型 的 信息 (如 文本 、 图 像 、 声 音 、 
动画 和 视频 等 ) 和 服务 (如 News、FTP、Telnet 以 及 Mail 等 ) 的 无 颖 链接 ,特别 适用 于 广域网 
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中 信息 的 组 织 、 检 索 与 显示 ,如 Internet 上 的 信息 、 广 告 . 新 闻 、 电 子 商务 、 电 子 政务 和 展示 信 
息 等 ,从 而 使 得 Web 技术 越 来 越 受 到 人 们 的 关注 。 这 些 特 点 决定 了 Web 的 内 容 必须 能 够 
以 适当 的 形式 来 组 织 和 安排 ,使 得 它 在 各 种 平台 的 Web 浏览 器 上 能 够 得 到 正确 的 解释 ,并 
具有 层次 丰富 的 界面 ,如 文本 、 图 形 图 像 和 链接 等 应 该 具有 不 同 的 诠释 和 显示 。 

HTML 的 出 现 解 决 了 页 面 作 者 定制 网 页 总 体 轮廓 的 问题 ,用 文本 语言 的 方式 实现 了 
Web 内 容 和 存储 上 的 统一 。HTML 几乎 为 所 有 常见 的 Web 浏览 器 所 支持 。Web 浏览 器 
在 得 到 Web 页 面 之 后 ,根据 HTML 语言 的 标记 来 决定 页 面 的 层次 结构 和 显示 格式 ,并 且 可 
以 通过 URL 来 实现 Web 页 面 的 链接 和 跳 转 。HTML 中 可 以 包括 层 秋 样式 表 (Cascading 
Style Sheets,CSS) ,CSS 属于 一 种 样式 设计 模板 , 它 能 够 帮助 用 户 控 制 HTML 元 素 的 呈现 
方式 和 轮廓 ,将 HTML 的 内 容 制作 和 样式 设计 分 开 。 

4. Web 服务 器 

Internet 上 众多 的 Web 服务 器 汇集 了 大 量 的 信息 ,Web 服务 器 的 作用 就 是 管理 这 些 文 
档 , 处 理 用 户 发 来 的 各 种 请 求 ,并 将 满足 用 户 要 求 的 信息 返回 给 用 户 。 

本 质 上 来 说 , Web 服务 器 是 驻 留 在 服务 器 上 的 一 个 程序 ,通过 Web 浏览 器 与 用 户 交 互 
操作 ,为 用 户 提供 感 兴趣 的 信息 。 

5. Web 浏览 器 

Web 浏览 器 是 阅读 Web 上 信息 的 客户 端 软件 。Web 浏览 器 在 网 络 上 与 Web 服务 器 
打交道 ,从 服务 器 上 下 载 和 获取 文件 。 

Web 浏览 器 有 多 种 ,它们 都 可 以 浏览 Web 上 的 内 容 , 只 不 过 所 支持 的 协议 标准 以 及 功 
能 特性 各 有 异同 。 绝 大 部 分 的 浏览 器 都 运用 了 图 形 用 户 界面 。 目 前 常用 的 有 : Netscape 
Navigator, Netscape Communicator、 Microsoft Internet Explorer、.Opera、 Mosaic 以 及 Lynx 
等 。Netscape 的 浏览 器 几乎 可 以 在 所 有 的 平台 上 运行 ,而 Microsoft Internet Explorer 则 是 
占据 了 Web 浏览 器 的 主要 市 场 。 浏 览 器 是 最 经 常 使 用 到 的 客户 端 程序 。 

6. 公共 网 关 接 口 

公共 网 关 接 口 (Common Gateway Interface.CGI) 是 Web 服务 器 向 基于 CGI 的 程序 传 
递 数据 的 标准 。 它 提供 一 个 计算 机 程序 同 HTTP 协议 或 者 WWW 服务 的 接口 ,也 就 是 人 
机 交互 接口 。CGI 程序 (在 CGI 控制 下 运行 的 程序 ,通常 称 CGI 程序 ) 可 以 使 用 任何 语言 编 
写 , 但 它 通常 使 用 C/C++ 或 Perl 语言 编写 。CGI 脚本 的 典型 用 法 是 从 Web 页 面 上 获取 、 人 处 
理 信息 再 向 用 户 提 供 其 他 所 需 的 信息 。 

CGI 的 主要 功能 是 在 WWW 环境 下 .从 客户 浏览 器 传递 一 些 信息 给 WWW 服务 器 ,再 
由 WWW 服务 器 去 启动 所 指定 的 程序 代码 (CGI 程序 ) 来 完成 相应 的 工作 。CGI 是 信息 服 
务 器 主机 对 外 信息 服务 的 标准 接口 .为 了 向 客户 端 提供 动态 信息 而 制定 。 使 用 CGI 可 以 像 
网 关 一 样 , 在 服务 器 端 和 客户 端 之 间 建 立 一 个 桥梁 ,通过 执行 客户 端的 输入 指令 ,产生 并 传 
回 客户 端 所 需要 的 信息 。 

CGI 是 服务 器 的 扩展 ,以 扩充 Web 服务 器 能 力 ,编写 的 服务 器 扩展 使 得 Web 站 点 更 生 
动 有 趣 。 同 时 CGI 是 非 会 话 式 的 , 它 不 能 在 处 理 来 自 Web 浏览 器 的 数据 过 程 中 停止 并 返 
回 Web 浏览 器 请 求 更 正 数据 ,CGI 只 允许 数据 输入 。CGI 处 理 数据 ,生成 输出 ,然后 终止 。 

在 HTML 文件 中 ,表单 与 CGI 程序 配合 使 用 ,共同 完成 信息 交流 的 目的 。 一 般 过 
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程 是 ， 

@O 用 户 用 Web 浏览 器 提交 表单 登录 ; 

@ Web 浏览 器 发 送 登录 请 求 到 Web 服务 器 ; 

@ Web 服务 器 分 析 Web 浏览 器 送 来 的 数据 包 ,确认 是 CGI 请 求 ,于 是 通过 CGI 将 表 
单数 据 按照 一 定格 式 发 送 给 相应 的 CGI 应 用 程序 ; 

@ CGI 应 用 程序 对 数据 处 理 、 验 证 ,将 动态 生成 的 页 面 发 送 给 Web 服务 器 ; 

@ Web 服务 器 把 CGI 应 用 程序 发 来 的 页 面 发 送 给 请 求 登录 的 Web 浏览 器 ; 

@ Web 浏览 器 接受 、 解 释 、 显 示 页 面 。 

Web 浏览 器 向 Web 服务 器 提交 表单 数据 通常 有 两 种 方式 : 一 是 Post 方式 ,Web 服务 
器 通过 标准 输入 方式 把 数据 转交 CGI 应 用 程序 ; CGI 应 用 程序 数据 处 理 完毕 后 ,将 结果 输 
出 到 标准 输出 , 即 可 以 为 Web 服务 器 所 接受 ; 二 是 Get 方式 ,在 UNIX 类 的 系统 中 , Web 服 
务 器 通过 环境 变量 将 数据 转交 CGI 应 用 程序 。 


11.2 ”Web 攻击 


11.2.1 拒绝 服务 攻击 


拒绝 服务 攻击 DoS ,是 一 种 破坏 网 络 服务 的 技术 方式 ,其 目标 是 让 被 攻击 的 计算 机 停止 
提供 服务 或 资源 访问 。 

发 起 DoS 攻击 的 攻击 者 往往 利用 系统 的 缺陷 ,运行 特定 编写 的 程序 ,这 些 程序 或 者 耗 
尽 网 络 带宽 ,或 者 使 目标 系统 或 服务 崩溃 ,其 最 终结 果 就 是 使 合法 用 户 的 请 求 得 不 到 满足 ， 
进而 会 使 一 个 依赖 于 计算 机 或 网 络 服务 的 企业 不 能 正常 运转 。 

2000 年 2 月 9 日 ,著名 的 搜索 引擎 Yahoo .电子 商务 网 站 Amazon、eBay 和 CNN 等 遭 
到 强烈 的 分 布 式 拒绝 服务 攻击 ,服务 器 连续 几 十 个 小 时 无 法 正常 工作 ,造成 的 损失 高 达 12 
亿美 元 。 

拒绝 服务 攻击 的 基本 目标 是 阻止 受信 侵 的 计算 机 提供 正常 服务 或 资源 访问 ,使 得 合法 
者 无 法 正常 使 用 网 络 服务 。 计 算 机 和 网 络 运 行 时 都 需要 一 定 的 资源 ,例如 网 络 带宽 ,存储 
器 、 磁 盘 空 间 和 数据 结构 等 。 拒 绝 服务 攻击 最 常见 的 就 是 入 侵 者 通过 产生 大 量 的 导向 受害 
网 络 的 数据 包 , 消 耗 该 网 络 的 所 有 可 用 带宽 ,典型 的 攻击 包 是 ICMP Echo 包 。 例 如 在 
Smurf 中 ,入 侵 者 从 远 端 节点 向 某 网 络 的 广播 地 址 发 送 ICMP Echo 请 求 包 ,网 络 上 的 所 有 
节点 都 会 响应 这 一 请 求 , 从 而 产生 大 量 垃圾 数据 包 , 最 终 使 得 网 络 拥塞 或 瘫痪 。 

除了 网 络 带 宽 , 入 侵 者 还 可 以 消耗 其 他 的 网 络 资源 。 如 针对 网 络 连接 ,阻止 受害 的 主机 
或 网 络 同 其 他 网 络 进行 通信 。TCP SYN Flood 入 侵 就 是 这 样 一 种 入 侵 方式 ,入 侵 者 与 受害 
节点 建立 连接 ,但 不 最 终 完成 。 由 于 受害 节点 需要 保持 并 等 待 完成 这 些 半 开 的 连接 ,结果 导 
致 合法 的 连接 因为 缺乏 数据 结构 资源 而 无 法 正常 建立 连接 。 在 这 种 入 侵 中 ,入 侵 者 消耗 的 
是 核心 的 数据 结构 (主机 资源 ) ,而 不 是 网 络 带宽 。 这 意味 着 入 侵 者 可 以 通过 一 个 慢 的 网 络 
入 侵 一 个 高 速 的 网 络 上 的 主机 ,这 是 一 种 典型 的 * 非 对 称 攻 击 ”。 另 外 还 有 很 多 系统 中 保持 
信息 的 数据 结构 ,如 进程 描述 符 .进程 表 项 和 进程 时 隙 等 ,都 是 有 限 的 。 入 侵 者 可 以 编写 一 
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个 脚本 程序 ,通过 不 断 地 自我 复制 消耗 这 些 资 源 或 CPU 时 间 。 

此 外 ,入 侵 者 通过 破坏 或 改变 配置 信息 ,如 改变 网 络 路 由 信息 、 改 变 Windows NT 的 注 
册 表 信息 等 ,也 可 以 阻止 计算 机 或 网 络 的 使 用 ,甚至 通过 破坏 计算 机 或 网 络 中 的 物理 组 件 导 
致 拒绝 服务 。 

拒绝 服务 的 攻击 方式 有 很 多 种 ,一般 是 利用 系统 的 漏洞 .协议 的 漏洞 .服务 的 漏洞 对 计 
算 机 发 动 攻 击 ,使 计算 机 无 法 正常 对 外 服务 。 除 了 利用 系统 漏洞 ,协议 漏洞 来 进行 ,拒绝 服 
务 攻击 也 可 以 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,致使 服务 过 载 , 无 法 响应 其 他 用 
户 的 合法 请 求 。 这 些 服 务 资源 包括 网 络 带宽 、 系 统 文件 空间 、 连 接 的 进程 数量 等 。 常 见 拒绝 
服务 攻击 的 方法 主要 有 以 下 几 种 : 

(1) 制造 高 流量 的 无 用 数据 ,造成 网 络 拥 塞 , 使 受害 主机 无 法 正常 和 外 界 通信 ; 

(2) 利用 受害 主机 提供 的 服务 或 协议 上 的 缺陷 ,反复 而 高 速 地 发 出 特定 的 服务 请 求 ,使 
受害 主机 无 法 及 时 处 理 所 有 正常 请 求 ; 

(3) 利用 受害 主机 所 提供 的 服务 中 处 理 数据 上 的 缺陷 ,反复 发 送 畸 形 数 据 引发 服务 程 
序 错误 ,大 量 占 有 系统 资源 ,导致 目标 主机 无 法 处 理 而 拒绝 服务 。 


11.2.2 ”Web 欺骗 


在 访问 网 上 银行 时 ,根据 所 访问 的 银行 Web 页 面 ,从 该 行 的 账户 中 提取 或 存 入 一 定数 
量 的 存款 。 因 为 相信 所 访问 的 Web 页 面 就 是 所 需要 的 银行 的 Web 页 面 。 无 论 是 页 面 的 外 
观 .URL 地 址 ,还 是 其 他 一 些 相 关内 容 ,都 感到 非常 熟悉 ,所 以 感到 没有 理由 不 相信 。 但 是 ， 
其 实 很 可 能 已 经 被 不 法 分 子 所 欺骗 。 

2003 年 12 月 5 日 ,一 个 网 址 是 www. hkhsbc. com 的 假冒 网 站 出 现 , 这 与 香港 汇丰 银 
行 网 站 的 网 址 “www. hkbc. com. hk” 非 常 相似 。 假 网 站 上 有 一 个 用 户 登 入 的 按钮 ,与 香港 
汇丰 银行 的 用 户 登 人 按钮 一 模 一 样 ,假如 用 户 不 慎 在 假 网 站 输入 用 户 名 称 及 密码 ,款项 便 会 
被 不 法 之 徒 搜 取 。 

2003 年 12 月 10 日 ,中 银 香港 宣布 发 现 了 一 个 假冒 站 点 www. bocfund. com。 经 查证 ， 
它 是 一 家 总 部 设 在 深圳 名 为 “中 银 互 惠 理财 ”的 公司 。 该 公司 在 其 网 页 利用 “中 银 国际 集团 ” 
的 名 义 蔡 投资 者 开设 账户 ,买卖 香港 及 美国 证 券 ,还 公开 采用 了 中 银 “BOC” 的 简称 。 

Web 欺骗 是 互联 网 上 一 种 常见 的 欺骗 攻击 方式 ,攻击 者 伪造 某 个 www 站 点 ,使 得 对 该 
伪造 站 点 的 访问 都 进入 到 攻击 者 的 Web 服务 器 ,并 经 过 攻击 者 计算 机 的 过 滤 作 用 ,从 而 达 
到 攻击 者 能 监视 被 攻击 者 的 任何 活动 以 获取 有 用 信息 (用 户 的 账号 .口令 等 ) 的 目的 ,攻击 者 
可 以 伪造 数据 以 某 个 用 户 的 身份 发 送 给 服务 器 ,或 者 以 服务 器 的 身份 发 送 伪造 的 数据 给 
用 户 


Web 欺骗 是 一 种 电子 信息 欺骗 ,攻击 者 创建 表面 上 可 信和 的、 伪造 的 Web 页 面 。 伪 造 的 
Web 看 起 来 十 分 逼真 , 它 拥 有 相同 的 网 页 和 和 链接。 然而 .攻击 者 控制 着 伪造 的 Web 站 点 ， 
被 攻击 者 的 浏览 器 和 所 访问 的 Web 之 间 的 所 有 网 络 信 息 完全 被 攻击 者 所 截获 ,其 工作 原理 
就 像 一 个 过 滤器 ,攻击 者 可 以 对 用 户 的 通信 进行 监视 和 算 改 。 

Web 欺骗 的 手段 和 方法 主要 有 以 下 几 种 。 

1) URL 重 写 

Web 攻击 实现 的 关键 是 攻击 者 将 Web 页 放置 在 用 户 和 其 他 的 Web 之 间 。 利 用 URL 
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地 址 改写 把 Web 上 的 URL 进行 重 写 ,使 得 链接 指向 攻击 者 的 服务 器 。URL 重 写 不 用 将 网 
络 路 由 配置 成 通过 一 个 代理 服务 器 改变 所 有 网 络 通信 的 路 径 , 也 不 需要 配置 浏览 器 。 它 是 
通过 在 Web 页 面 中 改变 URL,URL 重 写 代理 服务 器 运用 特定 的 策略 映射 “真实 URL”, 使 
用 户 访问 许可 数据 库 请 求 的 浏览 器 自动 转向 返回 到 代理 服务 器 的 请 求 。 

假设 攻击 者 的 主机 为 www. hide. com, 通 过 在 所 有 链接 前 增加 http: //www. hide. 
com, 攻 击 者 可 以 改写 Web 页 中 的 所 有 URL 地 址 。 这 样 经 过 改写 后 ,原来 正常 的 URL 
www. cumt. edu. cn 就 变 成 了 http: //www. hide. com http: //www. cumt. edu. cn。 当 用 
户 单 击 改写 过 的 www. cumt. edu. cn 时 ,进入 的 是 http: //www. hide. com, 然 后 由 http: // 
www.hide. com 向 http: //www. cumt. edu. cn 发 出 请 求 并 获得 真正 的 内 容 , 再 由 http: // 
www. hide. com 返回 给 用 户 浏览 器 。 

由 于 浏览 器 一 般 均 设 有 地 址 栏 和 状态 栏 , 当 浏览 器 与 某 个 站 点 链接 时 ,可 以 在 地 址 栏 和 
状态 栏 中 获得 链接 中 的 Web 站 点 地 址 及 其 相关 的 传输 信息 ,用 户 由 此 可 以 发 现 问题 。 但 是 
由 于 浏览 器 的 显示 是 由 Web 编写 者 定义 的 ,所 以 攻击 者 往往 在 URL 地 址 重 写 的 同时 ,加 入 
JavaScript 程序 ,因为 JavaScript 程序 具有 修改 地 址 栏 和 状态 栏 内 容 的 功能 ,以 达到 掩盖 欺 
骗 的 目的 。 

例如 ,图 11-1 给 出 了 Web 欺骗 的 工作 方式 。 


© Q oh 。 团 交换 页 面 的 内 容 


一 


回 发 送 欺诈 的 
Web 页 面 内 容 


@ 请 求 真实 的 URL 的 页 面 内 容 


ve 
Www.cumt.edu.cn 


11-1 Web 欺骗 的 工作 方式 


2) DNS 域名 重 定向 

通常 用 户 对 Web 站 点 的 访问 是 基于 客户 机 /服务 器 模式 的 ,其 基本 过 程 是 : 在 浏览 器 
地 址 栏 输入 域名 一 向 DNS 查询 IP 地 址 -利用 DNS 返回 的 IP ,建立 TCP/IP 连接 一 向 服务 
器 发 送 HTTP 请 求 一 服务 器 返回 客户 机 浏览 器 请 求 的 内 容 一 关闭 连接 。 

从 上 述 过 程 可 知 ,客户 机 首先 要 获取 域名 对 应 的 IP 地 址 后 ,才能 向 对 应 的 服务 器 发 送 
连接 请 求 。 客 户 机 从 默认 的 域名 服务 器 中 获取 域名 对 应 的 IP 地 址 ,而 如 果 客 户 机 的 默认 的 
DNS 服务 器 没有 域名 对 应 的 IP 地 址 ,由 域名 服务 器 在 网 络 中 进行 递归 查询 ,在 其 他 域名 服 
务 器 上 获取 地 址 信息 。 

如 果 攻 击 者 通过 某 种 方法 (攻破 DNS 服务 器 ,DNS 欺骗) 把 用 户 要 访问 的 目标 机 器 的 
域名 对 应 的 IP 改 成 攻击 者 所 控制 的 机 器 ,这 样 所 有 外 界 对 该 域名 的 请 求 将 转向 攻击 者 的 机 
器 。 这 时 攻击 者 可 以 转发 所 有 的 请 求 到 目标 机 器 .让 目标 机 器 进行 处 理 , 再 把 处 理 结 果 返 回 
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到 发 出 请 求 的 客户 机 。 这 样 ,所 有 外 界 进入 目标 域名 机 器 的 数据 都 在 攻击 者 的 监视 之 下 , 攻 
击 者 可 以 任意 窃听 甚至 修改 数据 流 里 的 数据 .收集 到 大 量 的 信息 。 

3) 站 点 欺骗 技术 

攻击 者 假冒 一 个 合法 的 银行 站 点 ,假冒 的 站 点 看 起 来 和 合法 的 站 点 一 模 一 样 , 至 少 极其 
相似 ,使 用 户 很 难 通过 察看 网 页 内 容 判 断 访问 站 点 的 真 伪 ,这 个 在 技术 上 不 难 实 现 。 

4) Phishing 技术 

自 2004 年 以 来 ,Phishing“* 钓 鱼 式 攻击 *”“ 网 络 钓 鱼 ” 已 经 给 国内 外 用 户 造成 了 很 大 的 
损失 ,或 信用 卡 账 号 被 盗 , 或 银行 账户 上 的 存款 不 辟 而 飞 。 网 络 钓 鱼 (Phishing) 一 词 , 是 
“Fishing” 和 “Phone” 的 综合 体 ,由 于 黑客 始祖 起 初 是 以 电话 作案 ,所 以 用 “Ph” 来 取代 “F”， 
创造 了 Phishing,Phishing 发 音 与 Fishing 相同 。 中 文 有 一 个 很 好 的 典故 * 姜 太公 钓鱼 , 愿 
者 上 钧 ”; 网 络 钓鱼 者 垂钓 于 网 络 中 ,诱饵 千 百 种 ,其 行为 目的 很 明确 ,就 是 以 利 为 目的 , 盗 
取 银 行 的 存款 或 其 他 机 密 信息 ,例如 ,通过 以 下 几 种 方式 “钓鱼 ”。 

(1) 发 送 电 子 邮件 ,以 虚假 信息 引诱 用 户 中 圈套 

诈骗 分 子 以 垃圾 邮件 的 形式 大 量 发 送 欺 诈 性 邮件 ,这 些 邮件 多 以 中 奖 、 顾 问 、 对 账 等 内 
容 引 诱 用 户 在 邮件 中 填 入 金融 账号 和 密码 ,或 是 以 各 种 紧迫 的 理由 要 求 收 件 人 登录 某 网 页 
提交 用 户 名 、 密 码 .身份 证 号 .信用 卡号 等 信息 ,继而 盗 窃 用 户 资金 。 

(2) 建立 假冒 网 上 银行 .网 上 证 券 网 站 ,骗取 用 户 账号 密码 实施 盗窃 

犯罪 分 子 建立 起 域名 和 网 页 内 容 都 与 真正 网 上 银行 系统 .网 上 证 券 交易 平台 极为 相似 
的 网 站 ,引诱 用 户 输入 账号 密码 等 信息 ,进而 通过 真正 的 网 上 银行 .网 上 证 券 系统 或 者 伪造 
银行 储 蒂 卡 .证 券 交 易 卡 盗窃 资金 ; 还 有 的 利用 跨 站 脚本 , 即 利用 合法 网 站 服务 器 程序 上 的 
漏洞 ,在 站 点 的 某 些 网 页 中 插入 恶意 Html 代码 ,屏蔽 一 些 可 以 用 来 辨别 网 站 真 假 的 重要 信 
息 ,利用 cookies 窃取 用 户 信息 。 

(3) 利用 木马 和 黑客 技术 等 手段 窃取 用 户 信息 实施 盗窃 

木马 制作 者 通过 发 送 邮件 或 在 网 站 中 隐藏 木马 等 方式 大 肆 传 播 木马 程序 , 当 感 染 木马 
的 用 户 进 行 网 上 交易 时 ,木马 程序 即 以 键盘 记录 的 方式 获取 用 户 账号 和 密码 ,并 发 送 给 指定 
的 邮箱 ,用 户 资金 将 受到 严重 威胁 。 


11.2.3 DNS 欺骗 


DNS 欺骗 是 一 种 比较 复杂 的 攻击 技术 ,因为 它 使 用 起 来 比 IP 欺骗 要 简单 ,所 以 比较 常 
见 。 最 近 一 个 利用 DNS 欺骗 进行 攻击 的 案例 ,是 全 球 著名 网 络 安全 销售 商 RSA Security 
网 站 的 DNS 中 的 域名 曾 被 修改 . 当 用 户 尝试 打开 RSA Security 的 主页 时 ,发 现 其 主页 已 变 
成 了 其 他 的 内 容 。DNS 欺骗 攻击 是 指 DNS 服务 器 接受 并 使 用 一 些 来 自 未 授权 主机 的 错误 
信息 ,导致 当 其 他 用 户 向 DNS 查询 地 址 时 ,DNS 服务 器 返回 错误 的 结构 。 

域名 管理 系统 (Domain Name System,DNS) 是 域名 解析 服务 器 ,为 方便 记忆 ,互联 网 上 
的 主机 都 采用 以 名 称 ( 如 www. cumt. edu. cn) 的 形式 作为 用 户 访 问 该 主机 的 网 址 。 然 而 实 
际 上 ,网 络 上 的 主机 之 间 的 通信 不 是 用 网 址 来 标识 的 ,而 是 用 IP 地 址 。 因 此 当 用 户 要 访问 
某 一 站 点 时 ,用 户 程序 首先 需要 知道 该 站 点 的 IP 地 址 ,DNS 服务 器 的 功能 就 是 负责 将 用 户 
输入 的 网 址 解析 为 IP 地 址 。 

假设 客户 端 程序 A 在 运行 .A 希望 访问 一 个 Web 服务 器 B, 知 道 B 的 网 址 ,但 又 不 知道 
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B 的 IP 地址 ,这 时 就 需要 通过 DNS 查询 来 获得 这 个 地 址 (如 图 11-2 所 示 ) 。 

(1) 首先 A 向 DNS 服务 器 Z 发 送 DNS 查询 请 求 。 

(2) DNS 服务 器 处 理 这 个 查询 请 求 ,首先 搜索 本 地 记录 ,如 果 查 找到 关于 B 的 DNS 记 
录 , 将 B 的 IP 地址 信息 返回 给 A; 如 果 Z 在 本 地 没有 B 的 DNS 记录, 则 还 要 发 送 请 求 到 其 
他 的 DNS 服务 器 ,然后 将 其 他 服务 器 返回 的 DNS 查询 结果 返回 给 A。 

(3) 主机 A 利用 DNS 返回 的 地 址 和 主机 B 通信 。 

从 这 个 过 程 ,可 以 看 到 DNS 有 两 个 工作 特性 : @ 为 提高 效率 ,DNS 系统 会 对 所 有 已 经 
经 过 查询 的 结果 进行 缓存 (Cache); @DNS 对 自身 无 法 解析 的 域名 ,会 自动 向 其 他 DNS 服 
务 器 查询 。 正 是 由 于 以 上 特点 ,使 得 入 侵 者 能 进行 DNS 缓存 中 毒 (DNS Cache Poisoning) 
攻击 。 

图 11-3 为 DNS 的 查询 和 响应 报 文 的 格式 , 报 文 由 12 字 节 的 首部 和 4 个 长 度 可 变 的 字 
段 组 成 。 标 识字 段 通常 称 为 “标识 ID”, 由 客户 程序 设置 ,并 由 服务 器 程序 返回 结果 。 客 户 
程序 通过 它 来 确定 响应 与 查询 是 否 匹 配 。 


标识 标志 
问题 数 资源 记录 数 12 字 节 
B 的 趾 地 址 ? 授权 资源 记录 数 额外 资源 记录 数 


B 的 IP192.168… = 
查询 问题 


回答 (资源 记录 数 可 变 ) 
授权 (资源 记录 数 可 变 ) 
额外 信息 (资源 记录 数 可 变 ) 


DNS 服务 器 Z 


11-2 DNS 的 工作 过 程 11-3 ”DNS 查询 包 的 结构 


DNS 欺骗 的 难点 在 于 DNS 查询 包 中 的 “标识 ID”。 当 DNS 服务 器 向 其 他 的 服务 器 发 
送 查 询 包 时 ,在 返回 的 DNS 应 答 包 中 ,只 有 “标识 ID” 与 其 发 送 的 查询 包 中 的 “标识 ID? 吻 合 
时 ,才能 被 DNS 服务 器 所 接受 。 

通常 DNS 服务 器 在 构造 查询 包 时 ,查询 包 的 “标识 ID” 每 次 自动 加 1, 因此 攻击 者 可 以 
先 向 将 要 欺骗 的 DNS 服务 器 发 一 个 查询 包 , 并 用 Sniffer 监听 其 ID 值 ,然后 攻击 者 再 发 送 
一 个 查询 包 , 紧 接着 发 送 一 系列 构造 好 的 应 答 包 ,这 些 应 答 包 内 的 “标识 ID” 为 预测 的 一 定 
范围 内 的 值 ,例如 预测 在 “标识 ID” 的 范围 为 (ID 十 1) 一 (ID 十 100) 之 间 。 如 果 预 测 的 某 
个 值 正确 ,那么 DNS 就 会 把 这 个 包 当 成 自己 查询 的 应 答 ,将 应 答 中 的 数据 记录 入 缓存 ,而 真 
正 的 应 答 包 到 来 时 将 被 DNS 服务 器 丢弃 。 

假设 ,有 主机 A 的 IP 为 192.168.0.3.DNS 服务 器 Sl 的 IP 为 192. 168. 0. 20,Web 服 
务 器 www. aaaa. com 的 IP 地 址 为 10. 1. 1. 1。 攻 击 者 可 以 从 主机 A 发 动 一 次 DNS 欺骗 ， 
过 程 如 图 11-4 所 示 。 

@ 攻击 者 先 向 DNS 服务 器 Sl 提交 查询 主机 www. aaaa. com 的 IP 地 址 的 请 求 。 

@ DNS 服务 器 Sl 中 并 未 有 主机 www. aaaa. com 的 IP 地 址 信息 的 记录 ,DNS 服务 器 
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DNS 服务 器 S1 


Www.aaaa.com 


图 11-4 DNS 欺骗 的 过 程 


就 向 其 他 的 DNS 服务 器 (假设 为 S2) 递 交 查 询 请 求 ,而 此 时 攻击 者 在 主机 A 上 监听 DNS 服 
务 器 的 通信 情况 ,得 到 其 DNS 查询 请 求 的 ID( 假 设 为 6543) 。 

@ 攻击 者 再 向 DNS 服务 器 Sl 提交 查询 请 求 , 且 立刻 伪造 出 大 量 应 答 包 响应 DNS 服 
务 器 的 查询 ,伪造 的 应 答 包 中 告诉 DNS 服务 器 Sl 主机 www. aaaa. com 的 IP 地 址 是 10. 0. 
0.0, 且 查询 包 使 用 的 “标识 ID? 的 范围 为 6544 一 6644 ,这样 查询 包 中 的 应 答 信息 很 可 能 被 
DNS 服务 器 Sl 缓存 记录 ,而 DNS 服务 器 S2 返回 的 信息 被 S1 丢弃 。 

@ 当主 机 B 向 DNS 服务 器 进行 查询 www. aaaa. com 的 IP 地 址 时 ,由 于 DNS 服务 器 
Sl 中 已 有 记录 ,DNS 服务 器 Sl 就 会 返回 “www. aaaa. com 的 IP 地 址 是 10. 0. 0. 0 的 应 答 


DNS Cache Poisoning 的 限制 因素 主要 有 以 下 两 点 。 

首先 ,攻击 者 不 能 替换 缓存 中 已 经 存在 的 记录 。 比 如 说 ,如 果 在 98. 76. 54. 32 这 个 
DNS 服务 器 上 已 经 有 一 条 www. bbbcccc. com 的 IP 记录 ,那么 攻击 者 试图 替换 为 www. 
bbbbdddd. com 将 不 会 成 功 。 然 而 ,一 些 记录 可 以 累加 ,比如 A 记录 ,如 果 在 DNS 的 缓存 中 
已 经 存在 一 条 www. bbbcccc. com 的 A 记录 为 1. 2. 3.4, 而 攻击 者 却 欺骗 DNS 服务 器 说 
www. bbbcccc. com 的 A 记录 为 4. 3. 2.1, 那 么 www. bbbcccc. com 将 会 有 两 个 A 记录 , 客 
户 端 查询 时 会 随机 返回 其 中 一 个 。 

其 次 ,DNS 服务 器 存在 缓存 刷新 时 间 问 题 , 如 果 www. bbbcccc. com 的 TTL 为 7200， 
那么 DNS 服务 器 仅仅 会 把 www. bbbcccc. com 的 信息 缓存 7200 秒 或 者 说 两 个 小 时 。 如 果 
攻击 者 放 人 一 条 A 记录 ,过 了 默认 的 两 天 后 .该 记录 就 会 被 缓存 清除 。 

通过 对 DNS 服务 器 的 缓存 写作 错误 信息 是 一 种 攻击 方式 , 且 实 现存 在 一 定 的 难度 , 那 
么 对 客户 端的 DNS Spoofing 欺骗 攻击 方式 则 容易 实现 得 多 。 

前 面 分 析 可 知 , 由 于 DNS 协议 在 设计 上 的 缺陷 ,在 DNS 报 文中 只 使 用 一 个 序列 号 来 进 
行 有 效 性 鉴别 ,并 未 提供 其 他 的 认证 和 保护 手段 ,这 使 得 攻击 者 可 以 很 容易 地 监听 到 查询 请 
求 ,并 伪造 DNS 应 答 包 给 DNS 客户 端 ,从 而 进行 DNS 欺骗 攻击 。 目 前 所 有 DNS 客户 端 处 
理 DNS 应 答 包 的 方法 都 是 简单 地 信任 首先 到 达 的 数据 包 , 丢 弃 所 有 后 到 达 的 ,而 不 会 对 数 
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据 包 的 合法 性 作 任 何 的 分 析 。 这 样 ,只 要 能 保证 欺骗 包 先 于 合法 包 到 达 就 可 以 达到 欺骗 的 
目的 ,通常 这 是 非常 容易 实现 的 。 

DNS 对 客户 端的 欺骗 与 DNS Cache Poisoning 的 原理 相同 ,如 图 11-5 所 示 , 位 于 同一 
局 域 网 的 主机 A 192.168.0.2、 主 机 B 192. 168. 0.3、 首 选 DNS 服务 器 S 192. 168. 10. 200、 
远程 Web 服务 器 www. aaaa. com 的 IP 地 址 为 10. 1.1.1, 则 攻击 者 通过 主机 A 发 动 对 主机 
B 的 DNS 欺骗 ,欺骗 过 程 如 下 : 


Www.aaaa.com 


11-5 DNS Spoofing 


(1) 主机 也 希望 访问 www. aaaa. com, 但 不 知道 它 的 IP 地 址 , 则 B 的 DNS 客户 端 向 首 
选 DNS 服务 器 S 发 送 对 于 www. aaaa. com 的 解析 请 求 。 

(2) 攻击 者 在 主机 A 监听 到 B 发 送 的 请 求 ,并 根据 请 求 ID 向 请 求 者 发 送 虚 假 应 答 包 ， 
告诉 B 与 www. aaaa. com 对 应 的 IP 地 址 为 123. 234. 0. 1 。 

(3) 本 地 DNS 服务 器 返回 正确 应 答 ,但 由 于 在 时 间 上 晚 于 攻击 者 的 应 答 ,结果 被 丢弃 。 

(4) 主机 也 与 123.234. 0. 1 通信 ,攻击 者 达到 目的 。 


11.3 TLS 协议 概述 


安全 传输 层 协议 (Transport Layer Security Protocol, TLS) 用 于 在 两 个 通信 应 用 程序 
之 间 提 供 保密 性 和 数据 完整 性 , 它 可 以 在 不 同 层次 提供 网 络 安全 服务 。 通 用 的 解决 方法 是 
在 网 络 层 使 用 IPSec,IPSec 对 于 最 终 用 户 和 应 用 程序 是 透明 的 。 另 一 个 比较 通用 的 解决 方 
法 是 在 TCP 上 实现 安全 性 ,在 这 一 级 ,有 两 种 实现 选择 ,一 是 SSL (Secure Sockets Layer， 
SSL) 或 TLS 可 以 作为 基本 协议 簇 的 一 个 部 分 提供 ,因此 对 应 用 程序 透明 ,二 是 将 SSL 伐 入 
到 软件 中 ,如 嵌入 到 Web 浏览 器 与 Web 服务 器 中 。 与 应 用 有 关 的 安全 服务 也 可 以 被 租 入 
到 特定 的 应 用 程序 中 ,如 安全 电子 交易 (SET)。 几 种 安全 机 制 如 图 11-6 所 示 。 

SSL 采用 公开 密 钥 技术 。 其 目标 是 保证 两 个 应 用 间 通 信和 的 保密 性 和 可 靠 性 ,可 在 服务 
器 和 客户 机 两 端 同时 实现 支持 。SSL 协议 要 求 建 立 在 可 靠 的 传输 层 协 议 ( 例 如 : TCP) 之 
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HTTP | FIP | SMWTP SIMIME | PGP | SET 
HTTP | FTP | SMTP SSL or TLS | Kerberos SMTP HTTP 
TCP TCP | UDP TCP 
IP/IPSec IP | 


图 11-6 TCP/IP 协议 栈 中 安全 机 制 的 位 置 


上 。SSL 协议 的 优势 在 于 它 是 与 应 用 层 协 议 独 立 无 关 的 ,高 层 的 应 用 层 协议 (例如 : 
HTTP,FTP,Telnet) 能 透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协 议 通信 之 前 就 
已 经 完成 加 密 算法 .通信 密 钥 的 协商 以 及 服务 器 认证 工作 。 

Netscape 公司 推出 Web 浏览 器 时 提出 了 SSL 安全 通信 协议 ，SSL 协议 目前 已 成 为 
Internet 上 保密 通信 的 工业 标准 。 现 行 Web 浏览 器 普遍 将 HTTP 和 SSL 相 结合 ,来 实现 
安全 通信 。 如 果 利 用 SSL 协议 来 访问 网 页 ,其 步骤 包括 以 下 几 步 。 

(1) 用 户 : 在 浏览 器 的 地 址 栏 里 输入 https: //www. sslserver. com 。 

(2) HTTP 层 : 将 用 户 需 求 翻 译 成 HTTP 请 求 ,如 GET /index. htm HTTP/1. 1， 
Host http: //www. sslserver. com。 

(3) SSL 层 : 借助 下 层 协议 的 信道 ,安全 地 协商 出 加 密 密 钥 ,并 用 此 密 钥 来 加 密 HTTP 
请 求 。 

(4) TCP 层 : 与 Web Server 的 443 端口 建立 连接 ,传递 SSL 处 理 后 的 数据 。 

接收 端 与 上 述 过 程 相反 。 

1999 年 ,IETF 基于 SSL 3. 0 协议 正式 发 布 了 RFC 2246 ,并 将 其 称 为 TLSCTransport 
Layer Security) ,从 技术 上 讲 ,TLS 1.0 与 SSL 3.0 的 差别 非常 微小 ,但 二 者 不 具有 互 操作 
性 。 在 微软 IE6 版 本 中 ,对 于 加 密 的 HTTPS 连接 ,IE 默认 使 用 了 SSL 协议 。 用 户 只 有 通 
过 在 “高 级 选项 ”中 自行 设置 才 可 使 用 TLS 协议 ,IE7 直接 启用 TLS。 

自从 TLS 1.0 成 为 工业 标准 以 后 ,TLS 1. 0 在 Internet 上 已 得 到 长 足 的 应 用 ,除了 如 
S/HTTP、S/MIME、SSL-Telnet、SSL-SMTP、SSL-POP3 等 常用 的 协议 以 外 ,人 们 在 开发 各 
种 电子 商务 和 电子 政务 系统 时 也 是 基于 TLS。 

在 WAP 的 环境 下 ,由 于 手机 及 手持 设备 的 处 理 和 存储 能 力 有 限 ,wap 论坛 (www. 
wapforum. org) 在 TLS 的 基础 上 做 了 简化 .提出 了 WTLS 协议 (Wireless Transport Layer 
Security) ,以 适应 无 线 的 特殊 环境 。 

TLS 协 议 由 两 层 组 成 ,如 图 11-7 所 示 。 最 底层 是 TLS 记录 层 协 议 (TLS Record 
Protocol) , 它 基 于 可 靠 的 传输 层 协议 (如 TCP/IP) ,用 于 封装 各 种 高 层 协议 ,提供 消息 源 认 
证 .数据 加 密 以 及 数据 完整 性 服务 。 高 层 协议 对 TLS 的 会 话 和 管理 提供 支持 , 常 称 为 TLS 
握手 协议 层 , 主要 包括 TLS 握手 协议 (TLS Handshake Protocol)、 修 改 密码 格式 协议 
(Change Cipher Spec Protocol) 警告 协议 (Alert Protocol) .应 用 数据 协议 (Application 
Data Protocol) 等 子 协议 。 

在 TLS 子 协议 中 ,最 重要 的 是 TLS 握手 协议 。 它 是 认证 、 交 换 协 议 , 也 对 在 TLS 会 
话 .连接 的 任 一 端的 安全 参数 以 及 相应 的 状态 信息 进行 协商 、. 初 始 化 和 同步 。 握 手 协议 执行 
完 后 ,应 用 数据 就 根据 协商 好 的 状态 参数 信息 通过 TLS 记录 协议 发 送 。 
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TLS 改 变 密码 TLS 和 警告 HTTP， 


人 格式 协议 协议 FTP, ~ 


TLS 记录 协议 
TCP 


IP 


11-7 SSL 记录 协议 和 TLS 握手 协议 


TLS 协议 的 一 个 优点 是 它 对 于 高 层 应 用 协议 的 透明 性 ,高 层 应 用 数据 可 以 使 用 TLS 
协议 建立 的 加 密 信道 透明 地 传输 数据 。 同 时 ,TLS 协议 不 依赖 于 低层 的 传输 协议 。 可 以 建 
立 在 任何 能 够 提供 可 靠 连接 的 协议 之 上 ,例如 TCP、SPX 等 。 

TLS 记录 协议 建立 在 其 他 可 靠 的 传输 协议 之 上 (如 TCP)。TLS 记录 协议 提供 的 连接 
安全 性 有 两 个 基本 特点 。 

(1) 连接 是 保密 的 。 在 数据 加 密 中 使 用 了 对 称 密码 算法 (如 DES,RC4)。 对 于 每 个 连 
接 ,都 要 根据 TLS 握手 协议 进行 密 钥 协商 ,产生 一 个 唯一 的 会 话 密 钥 。TLS 记录 协议 也 可 
以 不 加 密使 用 。 

(2) 连接 是 可 靠 的 。 消 息 的 传输 使 用 了 带 密 钥 的 MAC 进行 完整 性 检查 。 在 计算 
MAC 时 使 用 了 安全 的 Hash 函数 (如 SHA .MD5)。 记 录 协 议 也 可 以 不 通过 MAC 来 操作 。 

TLS 握手 协议 位 于 TLS 记录 协议 以 上 。 它 使 客户 端 和 服务 器 在 传送 数据 和 接收 数据 
前 可 以 认证 相互 的 身份 ,并 协商 加 密 算法 和 密 钥 ,是 一 个 建立 安全 信道 的 交互 过 程 。TLS 
握手 协议 提供 的 连接 安全 性 具有 以 下 三 个 基本 特点 。 

(1) 对 等 实体 可 以 使 用 公 钥 密码 算法 (如 RSA ,DSS) 进 行 认 证 。 这 种 认证 是 可 选 的 ,但 
是 通常 至 少 需 要 对 一 方 进行 认证 。 

(2) 共享 秘密 的 协商 是 安全 的 。 即 使 攻击 者 能 够 发 起 中 间 人 攻击 ,协商 的 秘密 也 不 可 
能 被 窃听 者 获得 。 

(3) 协商 是 可 靠 的 。 攻 击 者 不 能 在 不 被 发 现 的 情况 下 算 改 协商 通信 数据。 

TLS 主要 工作 流程 包括 : 网 络 连 接 建立 ; 与 该 连接 相关 的 加 密 方 式 和 压缩 方式 选择 ; 
双方 的 身份 识别 ; 本 次 传输 密 钥 的 确定 ; 加 密 的 数据 传输 ; 网 络 连 接 的 关闭 。 

TLS 协议 定义 了 两 个 通信 主体 : 客户 和 服务 器 。 其 中 客户 是 协议 的 发 起 者 。 

TLS 协议 中 有 两 个 重要 的 概念 : 会 话 和 连接 。 

连接 : 是 指 提供 一 种 合适 服务 的 传输 ,一 个 TLS 连接 是 瞬时 的 ,每 个 TLS 连接 与 一 个 
TLS 会 话 关联 。 连 接 状 态 包 括 了 如 下 元 素 : 服务 器 随机 数 和 客户 随机 数 、 服 务 器 写 MAC 
secret、 窜 户 写 MAC secret、 服 务 器 写 密 钥 、 客 户 写 密 钥 、 初 始 向 量 、 序 列 号 。 

会 话 : 是 指 客户 和 服务 器 之 间 的 关联 。 会 话 由 握手 协议 创建 , 它 定义 了 一 套 安 全 加 
密 参 数 , 这 套 加 密 参 数 可 以 被 多 个 连接 共享 。 会 话 状 态 包 含 标识 会 话 特 征 的 信息 和 握手 
协议 的 协商 结果 等 , 它 包括 如 下 元 素 : 会 话 ID .同等 实体 证 书 、 压 缩 算法 、 密 码 规格 (ciper- 
spec) 、 主 密码 (master secret) ,是否 可 恢复 标志 (用 于 确定 会 话 是 否 可 用 于 初始 化 新 连接 的 


标志 )。 
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11.4 ”TLS 握手 协议 


握手 协议 的 功能 是 验证 身份 ,协商 密 钥 交换 算法 、 压 缩 算法 和 加 密 算法 ,完成 密 钥 交换 
以 及 生成 密 钥 等 。 


11.4.1 基本 消息 描述 


TSL 握手 协议 建立 连接 会 话 状 态 的 密码 参数 ,该 过 程 在 TLS 记录 协议 之 上 进行 ,TLS 
握手 协议 被 封装 在 记录 协议 中 。 当 TLS 协议 的 客户 机 和 服务 器 开始 第 一 次 通信 时 ,首先 需 
要 协商 协议 版 本 ,选择 密码 算法 ,进行 相互 认证 (可 选 功能 ) ,并 使 用 公 钥 密码 技术 生成 共享 

这 些 消 息 交 换 能 够 实现 如 下 操作 : 

(1) 客户 机 认证 服务 器 ; 

(2) 允许 客户 机 与 服务 器 选择 双方 都 支持 的 密码 算法 ; 

(3) 可 选择 的 服务 器 认证 客户 机 ; 

(4) 使 用 公 钥 加 密 技术 生成 共享 密 钥 ; 

(5) 建立 加 密 TLS 连接 。 

TLS 握手 协议 报 文 头 包括 三 个 字段 ( 见 表 11-1)。 

表 11-1 TLS 握手 协议 报 文 


报 文 类 型 参 数 
hello_request 空 
client_hello 版 本 .随机 数 会话 ID 、 密 文 族 、. 压 缩 方法 
server_hello 版 本 .随机 数 会话 ID.、 密 文 族 ,、 奈 缩 方法 
certificate X. 509v3 证 书 链 
Server_key_exchange 参数 .签名 
certificate_request 类 型 .授权 
Server_hello_done 空 
certificate_verify 签名 
client_key_exchange 参数 .签名 
finished Hash 值 


类 型 (1 字 节 ): 该 字段 指明 使 用 的 SSL 握手 协议 报 文 类 型 。SSL 握手 协议 报 文 包括 10 
种 类 型 。 报 文 类 型 见 表 11-1。 

长 度 (3 字 节 ): 以 字 节 为 单位 的 报 文 长 度 。 

内 容 ( 大 于 等 于 1 字 节 ): 使 用 的 报 文 的 有 关 参 数 。 

。 hello 消息 : 服务 器 和 客户 机 使 用 hello 消息 来 交换 安全 相关 的 信息 ,如 随机 数 、 
CipherSuite 等 ,包括 client_hello 消息 、server_hello 消息 和 hello_request 消息 。 

。 server_certificate 消息 : 该 消息 表示 服务 器 发 送 证 书 , 在 server_hello 消息 之 后 立即 
被 发 送 。 证 书 的 类 型 必须 与 所 选择 的 CipherSuite 中 的 密码 算法 相 匹 配 ,一 般 情况 
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下 是 X. 509v3 格式 的 证 书 。 

。 server_key_exchange 消息 : 该 消息 仅 在 服务 器 发 送 的 server_certificate 消息 中 , 没 
有 包含 足够 的 信息 使 客户 可 以 交换 premaster_secret 的 时 候 发 送 , 为 客户 端 协 商 
premaster_sectet 传递 密码 信息 。 

。 _ certificate _request 消息 : 服务 器 发 送 该 消息 指示 客户 提供 其 证 书 。TLS 中 证 书 类 
型 包括 rsa_sign dss_sign rsa_fixed_dh dss_fixed_dh 四 种 。 

。 server_hello_done 消息 : 服务 器 发 送 该 消息 指示 hello 阶段 结束 。 

。 client_certificate 消息 : 这 是 客户 接收 到 server_hello_done 消息 之 后 能 够 发 送 的 第 
一 条 消息 ,该 消息 只 有 在 服务 器 要 求证 书 的 情况 下 才 发 送 。 如 果 客 户 , 没 有 合适 的 
证 书 , 也 可 以 发 送 不 包含 证 书 的 client_certificate 消息 。 

。 client_key_exchange 消息 : 该 消息 由 客户 发 送 ,一 般 使 用 RSA 公 钥 加 密 的 方式 直 
接 传输 premaster_secret ,或 者 使 用 Difffie-Hellman 方法 使 双方 商定 该 密 钥 。 

。 certificate_verify 消息 : 该 消息 用 来 提供 显 式 的 客户 证 书 校 验 。 在 TLS 中 MD5 或 

SHA-1 只 对 handshake_messages 进行 散 列 运算 ,如 下 所 示 : 

CertificateVeryfy. signature. md5_hash MD5 (handshake messages) 

Certificate. signature. sha_hash SHA(handshake messages) 

finished 消息 : 该 消息 在 change_cipher_spec 消息 之 后 发 送 , 用 来 校 验 密 钥 交 换 和 认 

证 过 程 是 否 成 功 。 


11.4.2 握手 流程 


TLS 握手 协议 的 过 程 如 下 (如 图 11-8 所 示 )。 
客户 服务 器 


client_hello 


. 


建立 协议 版 本 、 会 话 ID、 密 文 毋 、 压缩 方 
法 、 交 换 随机 数 


certificate* 


server_hello 


(D 


server key exchange* 送 i 
2 certificate_request* 可 选 的 发 送 服务 器 证 书 5 
一 一 一 客户 证 书 
server_hello_done 
certificate* 
client_ key_exchange 


G3) 


certificate 
| changecipherspee | 
finished 
一 一 一 一 一 
change_cipher_spec 修改 密 文 簇 并 结束 担 手 协议 
一 一 一 一 一 一 一 一 
finished 


(4) 


图 11-8 握手 协议 的 过 程 
注 : 带 * 的 传输 是 可 选 的 ,或 者 与 站 点 相关 的 ,并 不 总 是 发 送 的 报 文 。 
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TLS 握手 协议 交换 hello 消息 以 协商 密码 算法 ,交换 随机 值 并 检查 会 话 是 否 可 重用 ; 交 
换 必 要 的 密码 参数 ,使 客户 和 服务 器 能 够 协商 预 主 秘密 premaster secret; 交换 证 书 和 密码 
信息 ,使 客户 和 服务 器 能 够 进行 相互 认证 ; 使 用 交换 的 随机 值 和 premaster secret 生成 主 密 
钥 master secret; 为 记录 协议 提供 安全 参数 ; 允许 客户 和 服务 器 校 验 对 方 是 否 计 算出 了 相 
同 的 安全 参数 ,以 及 校 验 上 述 握手 过 程 是 否 被 攻击 者 窃听 。 

握手 协议 的 过 程 作 以 下 描述 。 

(1) 建立 安全 能 力 。 客 户 机 向 服务 器 发 送 client_hello 消息 ,服务 器 向 客户 机 回应 
server_hello 消息 。client_hello 消息 和 server_hello 消息 建立 如 下 的 安全 属性 : 协议 版 本 、 
会 话 有 D、 密 文 徐 (CipherSuite) .压缩 方法 、 同 时 生成 并 交换 用 于 防止 重 放 攻 击 的 随机 数 。 密 
文 簇 参 数 包括 密 钥 交 换 方法 (Diffie-Hellman 密 钥 交换 算法 、 基 于 RSA 的 密 钥 交换 和 另 一 
种 实现 在 Fortezza chip 上 的 密 钥 交 换 )、 加 密 算法 (DES、RC4、RC2、3DES 等 ) MAC 算法 
(MD5 或 SHA-1) 、 加 密 类 型 ( 流 或 分 组 ) 等 内 容 。 

(2) 认证 服务 器 和 密 钥 交换 。 在 hello 消息 之 后 ,如 果 需 要 认证 服务 器 的 话 ,服务 器 将 
发 送 其 证 书 。 另 外 如 果 需 要 ,服务 器 还 要 发 送 server_key_exchange。 对 服务 器 进行 认证 
后 ,服务 器 可 以 请 求 客户 证 书 。 然 后 服务 器 将 发 送 server_hello_done 消息 ,指示 握手 协议 
的 hello 消息 阶段 结束 ,服务 器 等 待 客户 的 反应 。 

(3) 认证 客户 和 密 钥 交换 。 客 户 一 旦 收 到 服务 器 的 server_hello_done 消息 ,客户 将 检 
查 服务 器 证 书 的 合法 性 。 如 果 服 务 器 发 送 了 certificate_request 消息 ,客户 必须 发 送 客户 证 
书 , 然 后 发 送 client_key_exchange 消息 ,消息 的 内 容 依 赖 于 client_hello 与 server_hello 定 
义 的 密 钥 交换 算法 。 如 果 客 户 发 送 了 具有 签名 能 力 的 证 书 , 则 需要 发 送 certificate_verify 
消息 显 式 地 校 验 该 证 书 。 

(4) 结束 。 客 户 发 送 change_cipher_spec 消息 ,并 将 挂 起 状态 的 CipherSpec 复制 到 当 
前 的 CipherSpec。 这 个 消息 使 用 的 是 改变 密码 格式 协议 。 然 后 ,客户 在 新 的 算法 、 对 称 密 钥 
和 MAC 秘密 之 下 立即 发 送 finished 消息 。finished 消息 验证 密 钥 交换 和 鉴别 过 程 是 成 功 
的 。 结 束 消息 的 内 容 如 下 : 

PRF (master _ secret, finished _ label, MD5 (handshake _ messages) 十 SHA-l 
(handshake_messages)), 这 里 的 finished_label 对 于 客户 机 来 说 是 “client_finished”, 对 于 服 
务 器 来 说 是 “sever_finished”。 

服务 器 响应 客户 的 消息 ,发送 自己 的 change_cipher_spec 消息 .finished 消息 。 握 手 结 
东 ,客户 与 服务 器 可 以 发 送 应 用 层 数据 了 。 

当 客户 从 服务 器 端 传送 的 证 书 中 获得 相关 信息 时 ,需要 检查 以 下 内 容 来 完成 对 服务 器 
的 认证 : 时 间 是 否 在 证 书 的 合法 期 限 内 ; 签发 证 书 的 机 关 是 否 是 客户 端 信任 的 ; 签发 证 书 
的 公 钥 是 否 符合 签发 者 的 数字 签名 ; 证 书 中 的 服务 器 域名 是 否 符合 服务 器 自己 真正 的 域 
名 。 服 务 器 被 验证 成 功 后 .客户 继续 进行 握手 过 程 。 

同样 地 ,服务 器 从 客户 传送 的 证 书 中 获得 相关 信息 认证 客户 的 身份 ,需要 检查 的 内 容 
有 : 用 户 的 公 钥 是 否 符合 用 户 的 数字 签名 ; 时 间 是 否 在 证 书 的 合法 期 限 内 ; 签发 证 书 的 机 
关 是 否 是 服务 器 信任 的 ; 用 户 的 证 书 是 否 被 列 在 服务 器 的 LDAP 里 用 户 的 信息 中 ; 得 到 验 
证 的 用 户 是 否 仍 然 有 权限 访问 请 求 的 服务 器 资源 。 
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11.5 更 改 密码 规格 协议 


该 协议 由 单个 消息 Change_Cipher_Spec 组 成 ,消息 中 只 包含 一 个 值 为 1 的 单个 字 节 。 
该 消息 的 唯一 作用 就 是 使 挂 起 状态 的 ChipherSpec (密码 规格 ) 赋值 为 当前 状态 的 
ChipherSpec, 即 将 预 生 效 的 密码 规范 赋值 为 现行 密码 规范 ,更 新 用 于 当前 连接 的 密码 组 。 

客户 和 服务 器 都 有 各 自 独立 的 读 状 态 (read state) 和 写 状 态 (write state) 。 读 状态 中 包 
含 解压 缩 、 解 密 、 验 证 MAC 的 算法 和 解 秘密 钥 等 ; 写 状态 中 包含 压缩 加密、 计算 MAC 的 
算法 和 加 密 密 钥 等 。 

在 SSL 中 定义 了 两 种 状态 : 

@ 未 决 状态 (the pending state) 包 含 了 当前 握手 协议 协商 好 的 压缩 加密 、 计 算 MAC 
算法 以 及 密 钥 等 ; 

@ 当前 操作 状态 (the current operating state) 包 含 了 记录 层 正 在 实施 的 压缩 .加 密 、 计 
算 MAC 算法 以 及 密 钥 等 。 

客户 /服务 器 接收 到 Change_Cipher_Spec 消息 之 后 ,立即 把 待定 读 状态 中 的 内 容 复 制 
至 当前 读 状 态 ; 客户 /服务 器 发 送 了 Change_Cipher_Spec 消息 之 后 ,立即 把 待定 写 状态 中 
的 内 容 复 制 至 当前 写 状 态 。 


11.6 警告 协议 


警告 协议 用 来 将 TLS 有 关 的 警告 传送 给 对 方 。 警 告 协议 的 每 个 报 文 都 由 两 个 字 节 组 
成 ,第 一 字 节 指明 级 别 (警告 Warning(1) 和 致命 Fatal(2)), 第 二 字 节 指明 特定 警告 的 代码 。 
Warning 类 型 的 警告 消息 非常 多 , 它 的 作用 是 通知 另 一 方 错 误 的 出 现 。Fatal 类 型 的 警告 消 
息 导 致 连接 立即 终止 。 在 这 种 情况 下 ,其 他 关于 这 个 会 话 的 连接 可 能 还 存在 ,但 是 会 话 标识 
必须 失败 ,防止 该 会 话 再 建立 其 他 连接 。 第 二 个 字 节 包含 了 指出 特定 警告 的 代码 。 
首先 介绍 致命 警告 。 
。 unexpected_message: 接收 了 不 合适 的 报 文 。 
。 bad_recod_mac: 接收 到 错误 的 MAC 。 
。 decompression_failure: 发 送 方 不 能 产生 可 接收 的 安全 参数 组 使 选择 可 行 。 
。 handshake_failure: 解压 缩 函 数 输入 不 合适 (例如 ,不 能 解压 或 超过 最 大 允许 长 度 的 
解压 缩 ) 。 
。 illegal_parameter: 握手 消息 的 某 个 超过 值 域 或 与 其 他 的 不 相符 。 
。 decryption_failed: 密 文 解密 的 方式 不 正确 ,有 可 能 是 因为 密 文 不 是 块 长 的 偶数 倍 ， 
或 者 填充 值 检测 不 正确 。 
。 record_overflow: 密 文 的 记录 长 度 大 于 2* 十 2048 字 节 ,或 者 密 文 解密 后 的 长 度 大 
于 2* 十 2048 字 节 。 
。 unknown_ca: 接收 到 有 效 证 书 链 或 部 分 链 , 但 因为 找 不 到 CA 证 书 或 与 已 知 的 、 可 
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信任 的 CA 不 匹配 ,不 能 接收 这 个 证 书 。 

。 access_denied: 接收 到 了 一 个 有 效 的 证 书 ,但 是 当 应 用 访问 控制 时 ,发 送 方 决定 不 进 
行 协商 。 

。 decode_error: 由 于 消息 中 的 一 些 域 超 出 了 制定 的 范围 ,或 消息 的 长 度 不 正确 。 

。 export_restriction: 协商 与 检测 到 的 出 口 限制 不 一 致 。 

。 protocol_version: 客户 端 试 图 协商 的 版 本 能 被 识别 ,但 不 支持 。 

。 insufficient_security: 当 握 手 失 败 是 因为 服务 器 端 要求 的 安全 强度 高 于 客户 端 所 支 
持 的 强度 的 时 候 , 返 回 此 消息 ,而 不 是 handshake_failure。 

。 internal_error: 与 另 一 端 无 关 的 内 部 错误 ,或 是 协议 的 修正 使 其 无 法 继续 。 

下 面 介 绍 其 余 警 告 。 

。 decrypt_error: 握手 密码 操作 失败 ,包括 不 能 验证 签名 ,不 能 正确 解密 密 钥 交换 ,不 
能 验证 finish 消息 。 

。 user_canceled: 握手 的 取消 是 与 协议 失败 无 关 的 原因 。 

。 no_renegotiation: 这 条 消息 是 在 初始 化 握手 以 后 由 客户 机 或 服务 器 发 送 的 。 此 消 
息 发 送 后 ,通常 会 导致 重新 协商 。 

。 close_notify: 通知 接收 方 发 送 方 在 本 连接 中 不 会 再 发 送 任何 消息 。 在 关闭 连接 的 
写 端 前 ,每 一 方 都 需要 发 送 一 个 close_notify 警告 。 

。 bad_certificate: 接收 到 的 证 书 已 经 被 破坏 (例如 包含 未 经 验证 的 签名 )。 

。 unsupported_certificate: 不 支持 接收 的 证 书 类 型 。 

。 certificate_revoked: 证 书 已 经 被 其 签署 者 撤销 。 

。 certificate_expired: 证 书 已 经 过 期 。 

。 certificate_unknown: 在 实现 证 书 时 产生 一 些 不 确定 的 问题 ,使 证 书 无 法 接收 。 


11.7 TLS 记录 协议 


TLS 记录 协议 不 加 解释 地 从 高 层 接收 非 空 的 任意 长 度 的 数据 块 ,并 按照 协议 的 规定 对 


数据 进行 处 理 。 
TLS 记录 协议 主要 的 操作 如 图 11-9 所 示 。 
应 用 数据 J 本 | 
分 自 | “1 | 
压缩 2 
增加 MAC 


加 密 


增加 TLS 记 录 头 [| 
图 11-9 ”TLS 记录 协议 的 操作 
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记录 协议 主要 有 以 下 功能 。 

1) 分 段 

TLS 记录 将 每 个 上 层 应 用 数据 分 成 小 于 2* 字 节 的 TLSPlaintext 记录 。 记 录 中 包含 类 
型 .版 本 号 ,长度 和 数据 等 字段 。 


struct{ 
uint8 major, minor; 
}ProtocolVersion; 
enum{ 
change cipher spec(20),alert(21), handshake(22), 
application data(23), (255) 
}ContentType; 
struct{ 
ContentType type; // 用 于 处 理 分 段 的 高 级 协议 
ProtocolVersion version; // 正 在 使 用 的 协议 版 本 
uint16 length; // 分 段 的 长 度 
opaque fragment[TLSPlaintext. length]; // 明 文 分 段 [ 明 文 长 度 ] 
}TLSPlaintext; 
2) 压缩 


压缩 算法 将 TLSPlaintext 结构 变换 成 TLSCompressed 结构 。 奈 缩 必须 是 无 损 压缩 ， 
且 不 能 使 内 容 增 加 超过 1024 字 节 。TLS 定义 了 压缩 信息 的 数据 结构 ,也 包括 类 型 .版 本 、 
长 度 等 信息 。 当 然 ,TLS 也 支持 不 压缩 的 空 操作 。 


struct{ 
ContentType type; // 与 TLSPlaintext. type 相同 
ProtocolVersion version; // 与 TLSPlaintext. version 相同 
uint16 length; // 压 缩 分 段 的 长 度 
‘opaque fragment[TLSCompressed. length]; // 压 缩 分 段 

}TLSCompressed; 


3) 计算 MAC 

给 压缩 数据 计算 消息 认证 码 , 即 MAC。 在 TLS 中 采用 了 RFC2104 定义 的 HMAC 
算法 。 

对 于 TLS,MAC 计算 包含 如 下 字段 : 


HMAC_hash (MAC_write_secret, seq_num | | TLSCompressed. type | | TLSCompressed. version | | 
TLSCompressed. length || TLSCompressed. fragment) 


其 中 ,: 
。 MAC _write_secret: 共享 的 保密 密 钥 。 
。 seq_num: 消息 的 序列 号 。 
。 TLSCompressed. type: 用 于 处 理 分 段 的 高 级 协议 。 
。 TLSCompressed. version: 正在 使 用 的 协议 版 本 。 
。 TLSCompressed. length: 压缩 分 段 的 长 度 。 
。 TLSCompressed. fragment: 压缩 分 段 (如 果 没 有 ,就 是 明文 分 段 ) 。 
4) 给 加 上 MAC 的 压缩 消息 加 密 ( 加 密 采 用 对 称 密码 ,注意 MAC 总 是 在 有 效 数 据 载荷 


_ 
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被 加 密 之 前 被 加 入 TLS 记录 中 的 ) 
加 密 的 方式 有 两 种 : 第 一 种 是 序列 密码 ,第 二 种 是 分 组 密码 。 在 分 组 密码 中 ,为 了 使 加 
密 的 数据 大 小 是 被 加 密 块 长 的 倍数 ,需要 在 MAC 之 后 加 一 些 填充 字 节 。 填 充 块 之 前 有 一 
个 字 节 指示 填充 字 节 的 长 度 。 填 充 块 的 总 量 就 是 使 加 密 的 数据 总 量 ( 元 数据 十 MAC 十 填充 
块 ) 是 块 密码 长 度 倍数 的 最 小 字 节 数 。 
5) 生成 一 个 TSL 记录 报头 
加 密 函 数 及 消息 认证 码 函 数 将 TLSCompressed 结构 变换 成 TLSCiphertext 结构 。 
TLSCiphertext. fragment 的 长 度 不 应 该 超过 2048 字 节 。 需 要 注意 的 是 ,应 当 在 加 密 数据 
之 前 计算 消息 认证 码 MAC。 
struct{ 
ContentType type; 
ProtocolVersion version; 
uint16 length; 
select(CipherSpec. cipher type) { 
case stream: GenericStreamCipher; 
case block: GenericBlockCipher; 
}fragment; 
}TLSCiphertext; 


图 11-10 表示 的 是 TLS 记录 协议 的 内 容 。 


内 容 类 型 主 版 本 | 次 版 本 | 压缩 长 度 


明文 (压缩 可 选 ) 


MAC(0，16 或 20 位 ) 


|] 加 窗 部 分 
11-10 ”TLS 记录 协议 字段 
内 容 类 型 (8 位 ): 封装 的 高 层 协议 。 已 经 定义 的 内 容 类 型 是 握手 协议 .警告 协议 .改变 
密码 格式 协议 和 应 用 数据 协议 。 
主要 版 本 (8 位 ) 及 次 要 版 本 (8 位 ): 使 用 的 TLS 版 本 。 对 于 TLS 1.0, 使 用 版 本 {3, 1)。 
使 用 值 {3, 1} 是 有 历史 原因 的 .版 本 TLS 1.0 是 对 SSL 3.0 的 微小 的 修改 。 
压缩 长 度 : 定义 了 原文 分 段 的 字 节 长 度 ,最 大 是 2* 十 2048。 


11.8 TLS 协议 中 采用 的 加 密 和 认证 算法 


1. 加 密 算法 和 会 话 密 钥 

共享 主 密码 是 通过 安全 密 钥 交换 生成 的 临时 48 位 组 值 。 生 成 过 程 分 为 两 步 : 第 一 步 ， 
交换 pre_master_secret; 第 二 步 , 双 方 计 算 master_secret。 对 于 pre_master_secret 交换 ,有 
两 种 可 能 性 。 
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RSA: 客户 机 生成 48 字 节 的 pre_master_secret, 用 服务 器 的 公共 RSA 密 钥 加 密 后 ,发 
送 到 服务 器 。 服 务 器 用 私 钥 解密 密码 以 恢复 pre_master_secret。 

Diffie-Hellman: 客户 机 和 服务 器 都 生成 Diffie-Hellman 公 钥 ,交换 后 双方 都 用 Diffie- 
Hellman 算法 生成 共享 的 pre_master_secret。 

双方 的 master_secret 计算 如 下 : 


master secret = PRF (pre_master secret, "master secret", ClientHello. radom + ServerHello. 
radom) 


虽然 不 同 的 密 钥 交换 算法 产生 不 同 长 度 的 pre_master_secret, 但 master_secret 却 始 终 
是 48 字 节 。 以 上 算法 将 一 直 执行 ,直到 产生 48 字 节 的 伪 随 机 输出 。 
密 钥 块 (包括 会 话 加 密 密 钥 `MAC 密 钥 TIV) 的 计算 定义 如 下 : 


key_block = PRF(SecurityParameters. master secret, "key expansion", SecurityParameters. server 
_radom + SecurityParameters.client radom) 


这 个 计算 结果 也 将 一 直 执 行 ,直到 生成 足够 的 输出 。 

2. 认证 算法 

认证 算法 采用 X. 509 电子 证 书 标准 ,通过 RSA 算法 进行 数字 签名 来 实现 。 

1) 服务 器 的 认证 

服务 器 方 的 写 密 钥 和 客户 方 的 读 密 钥 ` 客 户 方 的 写 密 钥 和 服务 器 方 的 读 密 钥 分 别 是 一 
个 私 钥 / 公 钥 对 。 在 握手 协议 的 服务 器 身份 阶段 ,服务 器 在 发 往 客 户 机 的 Sever_Key_ 
Exchange 消息 中 包含 了 用 户 自 己 私 钥 加 密 的 数字 签名 。 具 体 方法 是 : 先 计 算 散 列 值 hash 
(ClientHello. radom | | SeverHello. radom | | SeverParams)。 在 此 散 列 值 中 ,不 但 有 
Diffie-Hellman 或 RSA 参数 ,而 且 包 含 了 初始 呼叫 的 两 个 现时 值 。 这 确保 了 对 重 放 攻 击 和 
误 传 的 防范 。 在 DSS 签名 情况 下 ,采用 SHA-1 散 列 算法 ; 在 RSA 签名 的 情况 下 ,采用 
MD5 和 SHA-1 算法 都 能 进行 计算 。 计 算 之 后 的 散 列 值 用 服务 器 的 公 钥 进行 签名 。 

2) 客户 的 认证 

只 有 正确 的 客户 方 的 密 钥 的 内 容 才 能 被 服务 器 方 用 其 密 钥 正 确 地 解 开 。 当 客户 方 收 到 服 
务 器 方 发 出 的 Request_Certificate 消息 时 ,客户 首先 使 用 MD5 消息 散 列 函数 获得 服务 器 消息 
的 摘要 ,然后 客户 使 用 自己 的 私 钥 加 密 摘要 形成 数字 签名 ,从 而 使 自己 的 身份 被 服务 器 认证 。 


习 题 11 


. 在 平时 ,您 是 否 遇 到 过 Web 攻击 ,都 是 哪些 类 型 的 Web 攻击 ? 
. CGI 的 工作 原理 是 怎样 的 ? 

. Web 攻击 主要 有 哪些 ? 

描述 一 下 SSL 协议 访问 网 页 的 过 程 。 

. TLS 握手 协议 的 工作 流程 是 怎样 的 ? 

TLS 警告 协议 的 作用 是 什么 ? 

. TLS 记录 协议 主要 完成 哪些 功能 ? 


中 
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图 书简 介 : 

Dreamweaver 8 、Fireworks 8 和 Flash 8 是 Macromedia 公司 为 网 页 制作 人 员 研 制 的 新 一 代 网 页 设计 软件 ,被 称 为 
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本 书 共 11 章 , 从 基础 网 络 知识 出 发 ,从 网 站 规划 开始 ,重点 介绍 了 使 用 “网 页 三 剑客 " 制 
作 网 页 的 方法 。 内 容 包 括 了 网 页 设计 基础 .HTML 语言 基础 .使 用 Dreamweaver 8 管理 站 
点 和 制作 网 页 .使 用 Fireworks 8 处 理 网 页 图 像 .使 用 Flash 8 制作 动画 .动态 交互 式 网 页 的 
制作 ,以 及 网 站 制作 的 综合 应 用 。 中 

本 书 遵循 循序 渐进 的 原则 ,通过 实例 结合 基础 知识 讲解 的 方法 介绍 了 网 页 设计 与 制作 国 村 /4 
的 基础 知识 和 基本 操作 技能 ,在 每 章 的 后 面 都 提供 了 配套 的 习题 。 ( 

为 了 方便 教学 和 读者 上 机 操作 练习 ,作者 还 编写 了 《网 页 设计 与 制作 实践 教程 ) 一 书 ,作为 “国生 
与 本 书 配套 的 实验 教材 。 另 外 ,还 有 与 本 书 配套 的 电子 课件 , 供 教师 教学 参考 。 sid 

本 书 适合 应 用 型 本 科 院 校 .高 职高 专 院 校 作 为 教材 使 用 ,也 可 作为 自学 网 页 制作 技术 
的 教材 使 用 。 
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